Close
Buscar

¿Qué novedades introduce el GDPR?

Tiempo de leer: 3 minutos

índice de contenido

El nuevo Reglamento europeo ha traído muchos cambios en materia de protección de datos personales, comportando una correspondiente obligación para las empresas y las Administraciones Públicas de adaptarse para evitar sanciones.

Descubrimos cuáles son los cambios más significativos:

  • Delegado de protección de datos (data protection officer – Dpo; art. 37): es una inédita figura profesional cuya designación es obligatoria para administraciones y entes públicos, excepto las autoridades judiciales; para todos los sujetos que tienen como actividad principal tratamientos que, por su naturaleza, su objeto o sus finalidades, requieren monitorización regular y sistemática de los interesados en gran escala; para todos los sujetos que tienen como actividad principal el tratamiento, en gran escala, de datos sensibles, relativos a la salud o a la vida sexual, genéticos, judiciales y biométricos. El deber fundamental del DPO es asesorar al responsable del tratamiento en cada actividad relacionada con la protección de datos personales, y de vigilar el acatamiento del GDPR, evaluando los riesgos de cada tratamiento a la luz de la naturaleza, del ámbito de aplicación, del contexto y de las finalidades.
  • Registro de Actividades de Tratamiento (record of processing activities; art. 30): todos los Responsables y Encargados del tratamiento, excepto los organismos con menos de 250 empleados pero sólo si no realizan tratamientos de riesgo, tienen que redactar este registro. Es un instrumento fundamental, no sólo para la eventual supervisión de la Autoridad de Control, sino sobre todo porque permite tener un cuadro siempre al día de los tratamientos en curso dentro de una empresa o de un ente público. El registro tiene que ser en formato escrito, también electrónico, y tiene que ser exhibido cuando es solicitado por la Autoridad de control.
  • Nuevos derechos para los sujetos interesados. Entre éstos:
    • El “derecho al olvido” (right to be forgotten; art. 17): permite obtener del Responsable del tratamiento la cancelación de los datos personales que le conciernen, siempre que existan motivaciones. Por ejemplo: los datos personales no son más necesarios para las finalidades por las cuales se recogieron o se trataron, el interesado ha revocado el consentimiento sobre el cual se fundaba el tratamiento o se han tratado ilícitamente los datos personales
    • El “derecho a la portabilidad de los datos” (right to data portability; art. 20): permite recibir los datos personales tratados por un responsable y conservarlos en un soporte personal o en un cloud privado en vista de un uso posterior para finalidades personales (por ejemplo sería posible recuperar la lista de piezas musicales preferidas detenida por un servicio de música en streaming, para descubrir cuantas veces se escuchan determinadas piezas). No sólo: este derecho permite transmitir datos personales de un Responsable del tratamiento a otro, por ejemplo un proveedor de servicios diferente.
  •  Principio de responsabilidad proactiva (accountability principle; art. 5 y art. 24): los Responsables del tratamiento de los datos no sólo tienen que adoptar formalmente medidas técnicas y organizativas, sino también demostrar la aplicación real de las mismas para asegurar la aplicación del Reglamento europeo. Constituyen una especificación de tal principio las obligaciones de:
    • Protección de datos personales a partir de la proyección y como predefinida (data protection by design and by default; art. 25);
    • Seguridad del tratamiento (security of processing; art. 32).
  • Principio de licitud del tratamiento (lawfulness of processing; art. 6): el nuevo Reglamento europeo establece que el tratamiento de los datos personales de un sujeto interesado, es lícito sólo si se basa en una base de legitimación definida. Este puede estar constituida, por ejemplo, por el consentimiento del interesado, por un contrato del cual el interesado forma parte, entre otros.

Qué cambia a propósito del consentimiento? (art. 7)

Para los datos “sensibles” y para las decisiones basadas en tratamientos automatizados el consentimiento tiene que ser explícito. El Responsable, además, tiene que demostrar que el interesado ha prestado consentimiento a un específico tratamiento. Se prohíbe por lo tanto el consentimiento tácito.

  • Notificación a la Autoridad de control la violación de los datos personales (notification of a personal data breach; art. 33): en caso de violación de datos personales, el Responsable del tratamiento tiene que notificar el acontecimiento a la Autoridad de control sin retraso injustificado y, cuando posible, dentro de 72 horas. La obligación caduca si el Responsable considera improbable que la violación sea un riesgo para los derechos y la libertad de las personas físicas.
  • Evaluación del impacto sobre la protección de los datos (data protection impact assessment – DPIA; art. 35): es un procedimiento que se debe llevar a cabo antes de seguir con el tratamiento de los datos personales, sirve para evaluar los riesgos que este puede producir sobre la protección de los datos personales. Es siempre obligatoria cuando un tratamiento puede presentar un riesgo elevado para los derechos y la libertad de las personas físicas.

ETIQUETA