REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, DE 27 DE ABRIL DE 2016, RELATIVO A LA PROTECCIÓN DE LAS PERSONAS FÍSICAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES Y A LA LIBRE CIRCULACIÓN DE ESTOS DATOS Y POR EL QUE SE DEROGA LA DIRECTIVA 95/46/CE (REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS) Y LEY ORGÁNICA 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS PERSONALES Y GARANTÍA DE LOS DERECHOS DIGITALES.

EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS COMENZÓ A APLICARSE EL 25 DE MAYO DE 2018, OBLIGATORIO EN TODOS SUS ELEMENTOS Y DIRECTAMENTE APLICABLE EN LOS ESTADOS MIEMBROS DE LA UNIÓN EUROPEA.

Según la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), están obligados a cumplir la normativa de protección de datos de carácter personal todas las personas, empresas y entidades públicas y privadas que utilicen cualquier dato personal en el desarrollo de sus actividades.

Esto significa que tanto profesionales autónomos como empresas del sector público y del sector privado y entidades sin ánimo de lucro deben cumplir las garantías establecidas para la protección del derecho fundamental a la intimidad y a la privacidad de datos personales en la creación, tratamiento y modificación de ficheros que contengan información personal de clientes, pacientes, empleados, proveedores, alumnos, socios, cofrades, asociados, etc.

Por tanto, con sólo tener contactos con nombre, apellidos, teléfono o dirección de personas, estamos obligados a cumplir los requisitos de esa norma.

INTRODUCE MODIFICACIONES DEL RÉGIMEN ACTUAL Y REGULA NUEVAS OBLIGACIONES.

DOS ELEMENTOS CONSTITUYEN LA MAYOR INNOVACIÓN:

• PRINCIPIO DE RESPONSABILIDAD PROACTIVA: necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al Reglamento.

• ENFOQUE DE RIESGO: las medidas se aplican en función del riesgo de las empresas. No se aplicarán las mismas medidas a empresas que traten datos personales de forma masiva que a aquellas que lleven a cabo un tratamiento de datos a pequeña escala.

CONSENTIMIENTO: tiene que ser INEQUÍVOCO. Antes se admitía el consentimiento TÁCITO O POR OMISIÓN.

Situaciones en las que el consentimiento, además de ser inequívoco, tiene que ser EXPLÍCITO O EXPRESO:

• Tratamiento de datos sensibles
• Adopción de decisiones automatizadas.
• Transferencias internacionales.

CATEGORÍAS ESPECIALES DE DATOS PERSONALES

Existen unas categorías especiales de datos personales, entre las que se encuentran, datos que revelen el origen étnico o racial, convicciones religiosas o filosóficas, afiliación sindical, salud, vida sexual y dos categorías introducidas por el Reglamento: DATOS GENÉTICOS Y DATOS BIOMÉTRICOS.

El Reglamento PROHÍBE el tratamiento de dichos datos salvo que el interesado de su CONSENTIMIENTO EXPLÍCITO o en los demás casos legalmente regulados.

DERECHOS AROSPL DE LOS INTERESADOS

• Derecho de acceso.
• Derecho de rectificación.
• Derecho de oposición.
• Derecho de supresión.
• Derecho a la portabilidad.
• Derecho a la limitación del tratamiento.
• Derecho a no ser objeto de decisiones automatizadas incluida la elaboración de perfiles.
• Derecho a presentar reclamación ante la AEPD.

Las empresas deberán facilitar a los interesados el ejercicio de dichos derechos, a través de solicitudes proporcionadas en papel o a través de medios electrónicos.

REGISTRO DE ACTIVIDADES DE TRATAMIENTO

Se elimina la obligación de crear formalmente los ficheros y notificarlos.

Se introduce una nueva obligación: el registro de actividades de tratamiento que deberán llevar a cabo los responsables y encargados del tratamiento.

La notificación e inscripción en la AEPD, NO se aplicará a aquellas empresas que cuenten con menos de 250 empleados, a menos que el tratamiento que realice pueda implicar un riesgo, no ocasional, para los derechos y libertades de los interesados, o incluya categorías especiales de datos personales.

NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD

Cuando se produzca una violación de seguridad de los datos, el responsable del tratamiento (las empresas) deberá NOTIFICARLO a la autoridad competente, en el plazo de 72 horas desde su conocimiento. 

MEDIDAS DE SEGURIDAD

El Reglamento no establece una serie de medidas de seguridad de aplicación en virtud de tipo de datos personales a tratar, sino que establece que el responsable y el encargado del tratamiento aplicarán MEDIDAS TÉCNICAS Y ORGANIZATIVAS ADECUADAS AL RIESGO QUE CONLLEVA EL TRATAMIENTO. Por tanto, se deberá llevar a cabo un análisis del riesgo.

RÉGIMEN SANCIONADOR

Se prevén multas administrativas de 10.000.000 euros o de una cuantía equivalente al 2% del volumen del negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, y, por otro lado, de 20.000.000 euros o una cuantía equivalente al 4% del volumen de negocio.

Las empresas deberán adaptarse a la nueva normativa. Asimismo, a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, incorporando nuevas cláusulas a los contratos, recabando consentimientos, estableciendo políticas de privacidad, etc. Dicha tarea debe ser desarrollada por el encargado de tratamiento, IBERPROTECCIÓN, la cual requiere una actualización y supervisión periódica que se adapte a las modificaciones introducidas por las empresas a lo largo del tiempo (contratación de nuevos trabajadores, nuevos contratos con encargados de tratamiento, modificación de finalidades de tratamiento, etc.).

          El RGPD y la LOPDGDD, introducen nuevas obligaciones respecto al tratamiento de datos personales, de modo que las empresas deben garantizar el cumplimiento de dichas obligaciones en materia de protección de datos.

El procedimiento a seguir será el siguiente:

• Toma de datos presencial: asistencia presencial a su empresa para la recogida de los datos necesarios para llevar a cabo la adaptación al RGPD. De acuerdo con la toma de datos, se darán, en un primer momento, aquellas instrucciones que se consideren necesarias para la implantación del RGPD y se resolverán las dudas planteadas al respecto.
• Documentación para la adaptación al RGPD: a partir de la toma de datos de su empresa, se realizará la adaptación al RGPD, que incluye la elaboración de los siguientes documentos:
• CLÁUSULAS DE CONTRATOS DE PRESTACION DE SERVICIOS Y ACCESO A DATOS POR CUENTA DE TERCEROS: en todos aquellos contratos con terceros que le presten servicios y tengan acceso a datos personales (Encargados de Tratamiento) se redactarán cláusulas contractuales de confidencialidad y protección de datos. Ejemplos: gestorías, mantenimiento de equipos informáticos, prevención de riesgos laborales, etc.

Protección de datos y deber de confidencialidad y secreto de los empleados: elaboración de un anexo de confidencialidad y secreto para los empleados.

Contrato de servicios: redacción de un contrato entre el Responsable del Tratamiento y el Encargado del Tratamiento.

• CLÁUSULAS DE CONSENTIMIENTO: redacción individualizada de cláusulas de consentimiento de tratamiento de datos personales de clientes, potenciales clientes, proveedores y candidatos a empleo.
• IMPRESO PARA EL EJERCICIO DE LOS DERECHOS DE LOS INTERESADOS: adjunto de un modelo de impreso que podrá emplear en aquellos supuestos en los que los interesados deseen ejercer sus derechos de acceso, rectificación, supresión, derecho a la limitación del tratamiento, a la portabilidad de los datos, oposición y derecho a no ser objeto de decisiones automatizadas.
• DOCUMENTOS WEB: elaboración del aviso de confidencialidad y privacidad a incluir en el e-mail, política de protección de datos a incluir en formularios, web, e-mail, política de privacidad, política de cookies, aviso legal, correo electrónico informativo a los clientes y leyenda del correo electrónico.
• MEDIDAS DE SEGURIDAD: manual del usuario que incluye las medidas de seguridad a adoptar por la empresa.
• REGISTRO DE ACTIVIDADES DEL TRATAMIENTO: diseño del registro de actividades de tratamiento. Este registro que tiene que mantener el Responsable del Tratamiento, se supervisará y actualizará presencialmente por nuestra parte, durante el año de validez del contrato, pudiéndose renovar mediante petición expresa del cliente.
• CARTEL DE VIDEOVIGILANCIA: en aquellos casos en los que fuera necesario, se incluirá el cartel de videovigilancia.

Si tiene alguna duda o estuviera interesado en recibir información más detallada acerca de nuestros servicios, puede ponerse en contacto con nosotros a través del teléfono de contacto 927 559 126 o mediante el correo electrónico administracion@iberproteccion.es.