El Reglamento (UE) 2016/679 (RGPD), que deroga la Directiva 95/46/CE sobre la que se sustenta la actual Ley Orgánica de Protección de Datos (LOPD) es de plena aplicación desde el 25 de mayo de 2018.
El objetivo del Reglamento es lograr una armonización y unidad de criterio en la aplicación y garantía de los derechos en materia de privacidad y protección de datos, así como garantizar unos estándares comunes de seguridad adaptados al entorno digital.
Dicho Reglamento garantiza la libre circulación de los datos personales en la Unión Europea, y confiere al derecho a la protección de los datos personales mayor robustez y autonomía a nivel comunitario.
La LOPD y el RGPD establece la obligación a todas las empresas y autónomos de adaptarse a la legislación vigente en materia de protección de datos de carácter personal.
Las empresas, a través de la figura del DPD (Delego de protección de datos) deberán afrontar el nuevo reto de ir adaptando a la organización a las nuevas obligaciones del Reglamento y, trabajar para crear cultura de cumplimiento en la compañía.
Los principales cambios que son de aplicación desde el 25 de mayo del 2018 son:
- Adoptar medidas técnicas y organizativas de seguridad adecuadas al nivel de riesgo. La Protección de datos debe implementarse desde el diseño y por defecto, a través del principio de responsabilidad proactiva y enfoque del riesgo (“Privacy by desing”), no siendo objeto de tratamiento aquellos datos que no sean necesarios para los fines concretos determinados (“Privacy by default”)
- Incorporar o adaptar modelos de consentimiento inequívoco y expreso a través de una acción positiva.
- Se aumenta la lista exhaustiva de información que debe proporcionarse a los interesados.
- Realizar un análisis y valoración de riesgos por parte de los responsables de los tratamientos.
- Se deberá mantener un registro de operaciones de tratamiento por los responsables y encargados.
- Establecer mecanismos visibles y sencillos incluidos los medios electrónicos, para el ejercicio de derechos
- Realizar contratos con proveedores que accedan a nuestros datos (encargados del tratamiento), sin que sean válidas las remisiones genéricas al artículo del Reglamento.
- Elaborar un registro de actividades de tratamiento
- Realizar una Evaluación de Impacto sobre la Protección de Datos en tratamientos de alto riesgo para los derechos y libertades de los interesados
- Nombrar un Delegado de Protección de Datos en los casos que proceda
- Adoptar procedimientos de gestión y notificación de brechas de seguridad.