Logotipo de destrucción de documentos
Consulta On-line
CONTACTE CON NOSOTROS

Reglamento General de Protección de Datos (GDPR): materiales para su comprensión y cambios principales

La normativa actual en materia de protección de datos obliga a la destrucción de la documentación que contiene información confidencial. El tratamiento de la información confidencial ha sido regulado a nivel europeo por el Reglamento General de Protección de Datos, que entrará en vigor el 25 de mayo de este año 2018.

Después de cuatro años de preparación y debate, el Reglamento General de Protección de datos o GDPR (RGPD en español) fue finalmente aprobado por el Parlamento de la Unión Europea el 14 de abril de 2016. Entrará en vigor 20 días después de su publicación en el Diario Oficial de la UE y se aplicará directamente en todos los estados miembros dos años después de esta fecha. La fecha de entrada en vigor: 25 de mayo de 2018: en ese momento, las organizaciones en situación de incumplimiento tendrán que hacer frente a fuertes multas.
El Reglamento General de Protección de Datos (GDPR) de la UE reemplaza a la Directiva de Protección de Datos 95/46 / EC y fue diseñado para armonizar las leyes de privacidad de datos en Europa, proteger y habilitar la privacidad de todos los ciudadanos de la UE y remodelar la forma en que las organizaciones de la región abordan la privacidad de los datos. Los artículos clave del GDPR, así como la información sobre su impacto comercial, se pueden encontrar en este sitio: https://www.eugdpr.org/

Materiales para ayudar a las Pymes españolas a cumplir con el RGPD
Para que las pymes puedan, en el período transitorio, conocer el impacto del Reglamento en el tratamiento de los datos y las medidas que tendrán que adoptar, la Agencia Española de Protección de datos AEPD, presentó unos materiales informativos, que son los siguientes:
Guía del Reglamento General de Protección de Datos para responsables de tratamiento: Establece las principales cuestiones a tener en cuenta por las organizaciones para cumplir con el Reglamento y una lista de verificación para comprobar que han establecido los pasos necesarios para hacer una correcta aplicación.

Directrices para la elaboración de contratos entre responsables y encargados de tratamiento
El responsable del tratamiento de datos y el encargado tienen unas relaciones que tienen que plasmarse en un contrato que les vincule. Estas directrices regulan el contenido mínimo de esos contratos para que reflejen todos los contenidos del Reglamento
Guía para el cumplimiento del deber de informar. Dado que el RGPD otorga a la información a los ciudadanos una gran importancia, esta guía proporciona soluciones prácticas y consejos sobre las formas de proporcionar esa información.
Estos recursos están reflejados en una nueva sección web específica sobre el Reglamento de la Agencia Española de Protección de Datos.

Principales cambios del Reglamento con respecto a la anterior normativa
El objetivo del GDPR es proteger a todos los ciudadanos de la UE de las infracciones de datos y la privacidad en un mundo cada vez más basado en el manejo de datos, que es muy diferente del momento en que se estableció la directiva de 1995. Aunque los principios clave de la privacidad de los datos siguen siendo fieles a la directiva anterior, se han propuesto muchos cambios a las políticas regulatorias; los puntos clave del GDPR, así como la información sobre los impactos que tendrá en los negocios se pueden encontrar a continuación.

Mayor ámbito territorial (aplicabilidad extraterritorial)
Podría decirse que el mayor cambio en el panorama regulatorio de la privacidad de los datos proviene de la jurisdicción ampliada del GDPR, ya que se aplica a todas las empresas que procesan datos personales de residentes en la UE, independientemente de la ubicación de la empresa. Anteriormente, la aplicabilidad territorial de la directiva era ambigua y se refería al proceso de datos 'en el contexto de un establecimiento'. Este tema ha surgido en una serie de casos judiciales de alto nivel. El GDPR hace que su aplicabilidad sea muy clara: se aplicará al procesamiento de datos personales por parte de controladores y procesadores en la UE, independientemente de si el procesamiento se lleva a cabo en la UE o no. El GDPR también se aplicará al procesamiento de datos personales de personas de la UE por un controlador o procesador no establecido en la UE, donde las actividades se relacionen con: ofrecer bienes o servicios a ciudadanos de la UE (independientemente de si se requiere o no pago) y el control del comportamiento que tiene lugar dentro de la UE. Las empresas ajenas a la UE que procesen datos de ciudadanos de la UE también deberán nombrar un representante en la UE.

Sanciones
A las organizaciones bajo las normas del GDPR que lo infrinjan, se les puede multar con hasta el 4% de la facturación global anual o 20 millones € (lo que sea mayor). Esta es la multa máxima que se puede imponer por las infracciones más graves, por ejemplo, no tener suficiente consentimiento del cliente para procesar datos o violar el núcleo de los conceptos de Privacidad por Diseño. Existe un enfoque escalonado para las multas, por ejemplo, una empresa puede recibir una multa del 2% por no tener sus archivos en orden (artículo 28), no notificar a la autoridad supervisora y al sujeto de los datos sobre una infracción o por la no realización de la evaluación de impacto. Es importante tener en cuenta que estas reglas se aplican tanto a los controladores como a los procesadores, lo que significa que los “clouds', las plataformas en la nube, no estarán exentas de la aplicación del GDPR.

Consentimiento
Las condiciones para el consentimiento se han fortalecido, y las empresas ya no podrán usar términos y condiciones ilegibles largos llenos de jerga legal, ya que la solicitud de consentimiento debe darse en una forma inteligible y de fácil acceso, con el propósito del procesamiento de datos adjunto a ese consentimiento. El consentimiento debe ser claro y distinguible de otros asuntos y proporcionado en una forma inteligible y de fácil acceso, usando un lenguaje claro y sencillo. Debe ser tan fácil retirar el consentimiento como darlo.

Derechos de los sujetos de los datos

Notificación de incumplimiento o infracción
Bajo el GDPR, la notificación de incumplimiento será obligatoria en todos los estados miembros cuando una violación de datos probablemente "genere un riesgo para los derechos y libertades de las personas". Ésta debe hacerse dentro de las 72 horas de haberse dado cuenta de la violación por primera vez. Los procesadores de datos también deberán notificar a sus clientes, los controladores, "sin demora indebida" después de conocer por primera vez una violación de datos.

Derecho de acceso
Como parte de los derechos ampliados de los interesados esbozados en el GDPR está el derecho de los interesados a obtener del controlador de datos la confirmación de si los datos personales que les conciernen se están procesando, dónde y con qué propósito. Además, el controlador deberá proporcionar una copia de los datos personales, sin cargo, en un formato electrónico. Este cambio es un cambio drástico hacia la transparencia de los datos y el empoderamiento de los interesados.

Derecho al olvido (a ser olvidado)
También conocido como borrado de datos, el derecho a ser olvidado le da derecho a que el responsable del tratamiento borre sus datos personales, deje de difundir los datos y, potencialmente, haga que terceros detengan el procesamiento de los datos. Las condiciones para el borrado, como se describe en el artículo 17, incluyen que los datos ya no sean relevantes para los propósitos originales del procesamiento, o que los sujetos de datos retiren el consentimiento. También se debe tener en cuenta que este derecho requiere que los controladores comparen los derechos de los sujetos con el "interés público en la disponibilidad de los datos" al considerar tales solicitudes.

Portabilidad de datos
El Reglamento introduce la portabilidad de datos: el derecho de un sujeto de datos de recibir los datos personales que le conciernen, que previamente ha proporcionado en un 'formato de uso común y legible por máquina' y tiene derecho a transmitir esos datos a otro controlador.

Privacidad por diseño
La privacidad por diseño como concepto ha existido desde hace años, pero solo se ha convertido en un requisito legal con el GDPR. En esencia, la privacidad por diseño exige la inclusión de la protección de datos desde el inicio del diseño de los sistemas, en lugar de en una adición
Más concretamente: «El responsable del tratamiento deberá aplicar las medidas técnicas y organizativas adecuadas ... de manera efectiva ... para cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados». El artículo 23 exige que los controladores retengan y procesen solo los datos absolutamente necesarios para el cumplimiento de sus funciones (minimización de datos), y que limiten el acceso a los datos personales a quienes necesitan actuar fuera del procesamiento.

Oficiales de Protección de Datos (DPO)
Actualmente, los controladores están obligados a notificar sus actividades de procesamiento de datos a las Autoridades de protección de datos locales, lo que, para las multinacionales, puede ser una pesadilla burocrática, ya que la mayoría de los Estados miembros tienen requisitos de notificación diferentes. Bajo GDPR no será necesario enviar notificaciones / registros a cada APD –Autoridad de protección de datos local, de actividades de procesamiento de datos, ni será un requisito notificar / obtener aprobación para transferencias basadas en las Cláusulas de Contrato Modelo (MCC). En su lugar, habrá requisitos internos de mantenimiento de registros, y el nombramiento de DPO, que será obligatorio solo para aquellos controladores y procesadores cuyas actividades centrales consisten en operaciones de procesamiento que requieren una comprobación regular y sistemática de datos a gran escala o de especiales categorías de datos o datos relacionados con condenas y delitos penales. Es importante destacar que el DPO (Data protection officer=Oficial de protección de datos o Delegado de protección de datos):
•Debe nombrarse en función de las cualidades profesionales y, en particular, de los conocimientos especializados sobre legislación y prácticas de protección de datos
•Puede ser un miembro del personal o un proveedor de servicios externo
•Los datos de contacto se deben proporcionar a la APD relevante
•Debe contar con los recursos adecuados para llevar a cabo sus tareas y mantener su conocimiento experto
•Debe informar directamente al más alto nivel de gestión
•No debe realizar ninguna otra tarea que pueda generar un conflicto de intereses.
•Los datos son el activo más grande de una empresa y cuando haya que desecharse cualquier documento con datos de carácter personal tiene que procederse a su destrucción o borrado.
•El DPO tiene que vigilar también que esto se cumple y que se produce una destrucción de los documentos con datos de carácter personal conforme a este nuevo Reglamento

INFORMACIÓN Y PRESUPUESTO ON-LINE