Se acerca un importante cambio normativo en materia de protección de datos, y es probable que le hayan llegado diversas informaciones al respecto. Hasta el día 25 de mayo próximo, la normativa de protección de datos exigible en España seguirá estando regulada por dos normas básicas: la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley 15/1999. Pues bien, como decimos, a partir del próximo 25 de mayo, en su lugar, se aplicarán la nueva Ley Orgánica, actualmente en trámite, y el Reglamento UE 2016/679, General de Protección de Datos.
Dicha normativa establece nuevas exigencias. Igualmente, prevé sanciones importantes para el caso de incumplimiento de la misma.
Para cumplir con este Reglamento UE, deben ser tenidas en cuenta las nuevas exigencias entre las que cabe destacar las siguientes:
- Auditoría de protección de datos.
Antes de actualizar las políticas, los protocolos y los textos relativos el tratamiento de datos personales de que dispongamos en la empresa, debe auditarse el grado de cumplimiento de la normativa en materia de protección de datos. Para ello, se exige que el equipo auditor esté formado por profesionales con conocimientos jurídicos e informáticos.
- Deber de información.
Este nuevo Reglamento amplía la información que debe ser comunicada en el momento de recabar datos personales, y así a los anteriores requeridos (finalidad, destinatario de ficheros, obligación o no de entrega y consecuencias, derechos del interesado e identidad responsable), se unen los de:
– base jurídica del tratamiento
– tiempo máximo que se mantendrán los datos
– identificación en su caso del Delegado de protección
– si habrá o no transferencia internacional de datos
– derecho a presentar reclamación
– existencia o no de decisiones automatizadas
Los nuevos derechos sobre los que se debe informar con el nuevo Reglamento son los de acceso, rectificación, supresión, limitación, portabilidad y oposición.
- Contratos de Encargados del Tratamiento.
Los contratos que las empresa mantienen con terceros para el tratamiento de datos de los que son responsables, deberán constar por escrito, detallando las instrucciones del responsable al encargado en relación con las medidas de seguridad, régimen de subcontratación, confidencialidad y destino de los datos tras finalizar el servicio.
- Análisis de riesgo.
Todas las empresas deben analizar las vulnerabilidades informáticas y potenciales brechas de seguridad con el fin de implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques. De este modo, la empresa debe establecer un sistema de vigilancia que haga revisiones periódicas.
El Reglamento que comentamos hace responsable a las empresas de identificar las medidas de seguridad que aplicarán en el tratamiento de los datos que llevan a cabo, determinando que las mismas deben ser adecuadas al riesgo que exista sobre los distintos ficheros. Por ello, la necesidad de la empresa de realizar un análisis de riesgo.
- Evaluación del impacto.
Se exige para determinadas empresas la realización de una Evaluación de impacto, cuando sea probable que un tipo de tratamiento, sobre todo si implica la utilización de nuevas tecnologías, entrañe un alto riesgo para los derechos y libertades de las personas físicas. Esta exigencia de evaluación está dirigida a empresas que realicen un tratamiento a gran escala de categorías especiales de datos (infracciones penales, accesos públicos, elaboración de perfiles, etc.)
- Delegado de Protección de Datos (DPO).
El Reglamento recoge la obligación para determinadas empresas de contar con un DPO que deberá tener conocimientos especializados de Derecho y práctica en materia de protección de datos, con una exigencia mínima de experiencia de cuatro años. Este Delegado tendrá como funciones la gestión y control de la protección de datos dentro de la empresa así como actuar de enlace con la Agencia Española de Protección de Datos. Las empresas obligadas a contar con un DPO son, además de los organismos públicos, aquellas que traten a gran escala categorías especiales de datos, o lleven a cabo una observación habitual y sistemática de interesados.
Si precisa cualquier aclaración, estamos a su disposición.