LEXDATA CONSULTORES

Vaya al Contenido

 
Nuevo Reglamento Europeo de Protección de Datos (RGPD)
Principales cambios y modificaciones respecto a la LOPD

Modificación del ámbito de aplicación y nuevos principios

 
El Reglamento amplía el ámbito de aplicación territorial a los responsables y los encargados del tratamiento cuando no residan en la UE cuando pero sus actividades de tratamiento estén relacionadas con servicios prestados o bienes comercializados tenga en la Unión Europea, o se realicen actividades relacionadas con el control y observación del comportamiento de personas.
 
El RGPD  contempla dos nuevos principios que deben ser tenidos en cuenta:

-.Principio de Responsabilidad proactiva
Implica que el responsable del tratamiento debe aplicar las medidas técnicas y organizativas oportunas para garantizar que el tratamiento es conforme con el Reglamento, y contar con medios para demostrarlo en el momento en que pueda ser requerido
 

Este principio implica que la organización analice de forma permanente qué datos se tratan, con qué finalidades lo hace y qué tipo de operaciones de tratamiento lleva a cabo, todo ello para determinar de forma explícita las medidas que serán, aplicadas de las previstas en el RGPD, valorando la forma en que medidas son las adecuadas para cumplir con el mismo, y de que pueden demostrar su aplicación ante los interesados y ante las autoridades de supervisión.
 
Se trata por tanto de mantener una actitud consciente, diligente  y proactiva por parte de la organización ante cualquier  tratamiento de datos personales que realice.

 
-.Principio de Enfoque de riesgo
 
El RGPD impone que medidas para garantizar su cumplimiento deben centrarse en la naturaleza, el ámbito, el contexto y los fines del tratamiento así como en el posible riesgo que el tratamiento de datos personales por parte de la organización pueda suponer para los derechos y libertades de las personas.
 
En este sentido, algunas de las medidas que establece el RGPD solo serán aplicadas cuando exista un alto riesgo para los derechos y libertades, mientras que otras medidas deberán ajustarse al nivel y tipo de riesgo que suponga cada tratamiento.

 
Protección de datos desde el diseño y por defecto

 
El RGPD introduce los conceptos de privacidad desde el diseño y privacidad por defecto.
 
Esto implica que el responsable aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del tratamiento mismo, las medidas técnicas y organizativas adecuadas para aplicar de manera efectiva los principios de protección de datos, con todas las garantías

 
Códigos de conducta y certificación

 
El RGPD regula los códigos de conducta que pueden promover las asociaciones y otros organismos representativos de categorías de responsables del tratamiento o encargados del tratamiento para la correcta aplicación del Reglamento.
El código de conducta debe presentarse a la autoridad de control competente para su aprobación, registro y publicación. También corresponde a la autoridad de control acreditar al organismo de supervisión que prevea el código.
 
Mediante la adhesión y el cumplimiento de un código de conducta puede demostrarse el adecuado cumplimiento de las obligaciones del responsable del tratamiento, así como el establecimiento de mecanismos de certificación, tales como certificados, sellos o marcas, pueden acreditar el cumplimiento del RGPD.

 
Nuevas categorías especiales de datos

 
Además de los previstos ya en la la LOPD, el RGPD incluye dos nuevas categorías especiales de datos:
 
- Datos genéticos: relativos a las características genéticas heredadas o adquiridas por una persona que puedan proporcionan una información única sobre su fisiología o salud médica, obtenidos en particular mediante el análisis de una muestra biológica.
 
- Datos biométricos: obtenidos mediante tratamientos técnicos específicos, en relación con las características físicas, fisiológicas o conductuales de una persona, y mediante los cuales pueda obtenerse la identificación única de la misma, ya sean imágenes faciales, oculares, huellas dactilares, o signos similares.

 
Consentimiento del interesado

 
El RGPD impone que el consentimiento por parte del interesado para que pueda realizarse un tratamiento de su información, se materialice mediante una declaración inequívoca o una acción afirmativa que no deje lugar a dudas sobre su consentimiento,- por ejemplo el uso de cookies cuando un usuario navega por internet, debe ser aceptado por el usuario-. Las casillas ya marcadas en formularios, el consentimiento tácito o la falta de acción posterior, no constituirán a partir de la aplicación del RGPD un consentimiento válido. Deja por tanto de ser válido el consentimiento por omisión, aunque los tratamientos iniciados con anterioridad al inicio de su aplicación seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado tal como indica el RGPD, mediante un consentimiento inequívoco o expreso.

 
Los tratamientos basados en este consentimiento por omisión que se realicen cuando sea aplicable el RGPD deberían evitarse, solicitando el consentimiento de los afectados, o legitimando su tratamiento sobre una base legal distinta del consentimiento por omisión, como pudiera ser el interés legítimo del responsable o del cesionario de los datos, en el caso de que pudiera prevalecer sobre los derechos del interesado.
 
En este caso los interesados deberán ser informados, y podrán ejercitar los derechos que, como el de oposición, sean específicamente aplicables a la modalidad elegida.
 

El consentimiento podrá inequívoco, en los casos en los que el usuario acepta el tratamiento mediante una acción, o explícito, tal como impone el RGPD cuando los datos a tratar impliquen a categorías especiales de datos, tratamiento de decisiones automatizadas, -tales como cargos periódicos en cuenta, o renovación de suscripciones-, o transferencias internacionales de datos personales.
 

Respecto al consentimiento de los menores de 18 años, el RGPD pretende la regulación de los intereses legítimos del usuario, especialmente cuando se trata de niños.
 
En este sentido, la información ofrecida a los interesados en relación con el tratamiento o con el ejercicio de derechos deberá ser concisa, transparente, inteligible y proporcionada con lenguaje claro y sencillo cuando los interesados sean niños.
 
En el caso de los menores toma especial relevancia el derecho al olvido, y deberán eliminarse los datos cuando:

 
·         Pasado el tiempo, los datos no sean necesarios para la finalidad para la que fueron recogidos.
 
·         Se revoque el consentimiento en el que se basaba el tratamiento.
 
·         El interesado se oponga al tratamiento.
 
·         Los datos se hayan tratado ilícitamente.
 
·         Para el cumplimiento de una obligación legal.
 
·         Los datos se hayan obtenido en relación con la oferta de servicios dirigidos a menores.

 
Derecho de información

 
El RGPD concibe la información como un derecho de los usuarios afectados por el tratamiento de su información y amplía las cuestiones sobre las que es necesario informarles sobre:

 
·         Datos de contacto del delegado de protección de datos, (DPD)
 
·         Base jurídica del tratamiento de datos
 
·         Intereses legítimos en que se fundamente el tratamiento
 
·         Cuando proceda, la intención de transferir los datos a un tercer país o a una organización internacional y el fundamento para hacerlo.
 
·         Plazo durante el cual se conservarán los datos
 
·         El derecho a solicitar la portabilidad de sus datos
 
·         El derecho a retirar en cualquier momento el consentimiento que se haya prestado
 
·         Información sobre si la comunicación de datos es un requisito legal o contractual o un requisito necesario para suscribir un contrato.
 
·         El derecho a reclamar y procedimiento para hacerlo ante una autoridad de control;
 
·         La existencia de decisiones automatizadas, incluido el procedimiento, la lógica aplicada y sus consecuencias respecto a la información aportada.

 
El RGPD prevé que la información a los interesados, sobre los tratamientos que les afecten, así como al ejercicio de sus derechos sea proporcionada de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo
 
 
Derechos de los interesados

 
Derecho al olvido

El RGPD incorpora el derecho al olvido ya mencionado en relación al consentimiento de los menores, como un derecho vinculado al derecho de supresión y al derecho a la limitación del tratamiento.
 
Cuando el responsable haya hecho públicos los datos personales y se deban suprimirse, deberá adoptar las medidas razonables para informar de la supresión a los responsables que estén tratando los datos.
 
Algunas excepciones al ejercicio de este derecho son:

 
·         El ejercicio del derecho a la libertad de expresión e información.
 
·         El cumplimiento de una obligación legal.
 
·         La existencia de fines de archivo en interés público, de investigación científica o histórica o fines estadísticos.
 
·         La formulación, el ejercicio o la defensa de reclamaciones.
 
·         El Derecho a la limitación del tratamiento

 
La limitación de tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían. La limitación puede solicitarse cuando:

 
·         El interesado ha ejercido los derechos de rectificación u oposición y mientras el responsable determina si procede atender a la solicitud
 
·         El tratamiento es ilícito, lo que determinaría el borrado de los datos, pero el interesado se opone a ello
 
·         Los datos ya no son necesarios para el tratamiento, lo que nuevamente determinaría su borrado, pero el interesado solicita la limitación porque los necesita para la formulación, el ejercicio o la defensa de reclamaciones.

 
A este derecho se le aplican los mismos plazos y procedimientos que a los restantes derechos previstos en el RGPD.
 
Durante el tiempo de  la limitación, el responsable sólo tratará los datos afectados, más allá de su conservación:

 
·         Con el consentimiento del interesado
 
·         Para la formulación, el ejercicio o la defensa de reclamaciones
 
·         Para proteger los derechos de otra persona física o jurídica
 
·         Por razones de interés público importante de la Unión o del Estado miembro correspondiente

 
Una consecuencia de esta regulación es que impide una práctica que se sigue en ocasiones y que consiste en borrar los datos cuando se ejercitan otros derechos, como el de acceso, ya que impediría el ejercicio del derecho a la limitación del tratamiento.

 
Derecho a la portabilidad

 
El derecho a la portabilidad de los datos es una forma avanzada del derecho de acceso en la que la persona interesada tiene derecho a recibir los datos personales que le afectan que haya facilitado a un responsable del tratamiento en un formato estructurado, de uso común y de lectura mecánica, y transmitirlos a otro responsable, si se cumplen los siguientes requisitos:

 
·         Que el tratamiento esté basado en el consentimiento o en un contrato
 
·         Que el tratamiento sea por medios automatizados
 
·         Cuando el interesado lo solicita respecto a los datos que haya proporcionado al responsable y que le conciernan, incluidos los datos derivados de la propia actividad del interesado.
 

No sería de aplicación en los casos siguientes:
 
·         Los datos de terceras personas que un interesado haya facilitado a un responsable.
 
·         Cuando el interesado solicita la portabilidad de datos que le afecten cuando estos  hayan sido proporcionados al responsable por terceros.

 
Procedimiento para ejercitar los derechos recogidos en el RGPD

 
El RGPD impone a los responsables que faciliten a los interesados el ejercicio de sus derechos de manera que los procedimientos para ello sean visibles, accesibles, sencillos y gratuitos. El RGPD no establece un modo concreto para el ejercicio de derechos, pero  requiere a los responsables para que posibiliten la presentación de solicitudes por medio electrónico, sobre todo cuando el tratamiento se realiza el mismo medio, y que además puedan acreditar que han ejercitado su derecho,-  esto exige la implantación de procedimientos complejos, que no serán accesibles para todos los responsables-.
 
Esta obligación exige articular procedimientos que permitan fácilmente que los interesados puedan acreditar que han ejercido sus derechos por medios electrónicos, algo que actualmente no es viable en muchas ocasiones.
 

El criterio de gratuidad podría verse alterado cuando un interesado presente solicitudes manifiestamente infundadas, excesivas, o repetitivas, casos en los que el responsable podrá repercutir al interesado los costes administrativos necesarios para  atender su petición o una negativa a facilitar lo solicitado, fundamentando la misma.
 
 
El responsable contará para informar al interesado sobre las actuaciones derivadas de su petición con el plazo de un mes, que podrá ampliarse a dos meses más cuando se trate de solicitudes especialmente complejas. La ampliación del plazo deberá notificarla en el primer mes, y si pretende no atender la solicitud, deberá informar de ello al interesado, motivando su negativa, en el plazo de un mes desde su presentación.
 
 
 
Inscripción y notificación de ficheros anta la Agencia de Protección de Datos

 
El RGPD suprime, a partir del 25 de mayo de 2018, la necesidad de declarar los ficheros y notificarlos al Registro de protección de datos de las autoridades de control.

 
Documentación de las operaciones de tratamiento: registro de actividades de tratamiento

 
El RGPD impone nuevas obligaciones sobre la documentación que los responsables o los encargados deben elaborar, relativa al tratamiento de datos personales. Se exceptúa de esta obligación a quienes cuenten con menos de 250 trabajadores y que lleven a cabo tratamientos que no puedan suponer un riesgo para los derechos y las libertades de las personas interesadas, y que además no incluyan categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales.
 
 

 
 
Estos responsables y encargados del tratamiento deberán mantener un registro de las actividades de tratamiento que realicen. Este registro contendrá, respecto de cada actividad de tratamiento, la información que establece el artículo 30 del RGPD.

 
·         Nombre y datos de contacto del responsable y si procede del Delegado de Protección de Datos.
 
·         Finalidades y justificación del tratamiento.
 
·         Descripción de categorías de interesados y categorías de datos personales tratados.
 
·         Transferencias internacionales de datos si la hubiese.
 
·         Plazos previstos o estimados para la supresión de los datos.
 
·         Desscripción general de las medidas técnicas y organizativas de seguridad.

 
Medidas de seguridad y análisis de riesgos

 
El RGPD no establece unas medidas concretas de seguridad y pero impone que el responsable y el encargado del tratamiento establezcan medidas técnicas y organizativas adecuadas y proporcionadas al riesgo que conlleve el tratamiento y apliquen su cumplimiento, para lo cual deben en primer lugar determinar mediante un análisis adecuado, los riesgos a los que está sometida la información.
 
El tipo de análisis se realizará en función de los tipos de tratamiento llevados a cabo, la naturaleza de los datos, el número de interesados afectados o la cantidad y tipología de tratamientos que una misma organización pudiera realizar.

 
Evaluación de impacto relativa a la protección de datos

 
Cuando un tratamiento por su naturaleza, alcance, contexto o finalidades está sometido a riesgos, especialmente si se utilizan las nuevas tecnologías para su realización, que puedan afectar a los derechos y libertades de las personas, el responsable debe hacer una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales antes de iniciar el tratamiento.
 
El RGPD enumera tres supuestos en que se considera que los tratamientos están sometidos a un alto riesgo:

 
·         Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente
 
·         Tratamiento a gran escala de datos sensibles
 
·         Observación sistemática a gran escala de una zona de acceso público

 
Para determinar si el tratamiento se realiza a gran escala debe tenerse en cuenta:

 
·         El número de interesados afectados, bien en términos absolutos, bien como proporción de una determinada población
 
·         El volumen de datos y la variedad de datos tratados
 
·         La duración o permanencia de la actividad de tratamiento
 
·         La extensión geográfica de la actividad de tratamiento

 
Junto con estos tres supuestos, el RGPD obliga a las autoridades de protección de datos a publicar listas adicionales de tratamientos que requerirán una evaluación de impacto, o que elaboren listas de tratamientos en que expresamente no se precisa evaluación de impacto.

 
Para determinar la necesidad de una evaluación de impacto, siempre será necesario un análisis de los riesgos a los que pudiera estar sometida la información sobre personas, y en caso de que este concluya en que existe un alto riesgo para los derechos y libertades de los interesados, se evalúe el impacto en que estos riesgos pudieran derivar.

 
El RGPD se basa en un principio de responsabilidad activa del responsable y es este el que debe decidir qué medidas aplicar y cómo hacerlo. La intervención de las autoridades de supervisión o las previsiones del propio RGPD aclaran sus disposiciones o las especifican, pero no sustituyen la responsabilidad de quienes tratan los datos.

 
En los tratamiento ya iniciados y que se prolonguen más allá del 25 de mayo de 2018, deberá acometerse el análisis de riesgos, y cuando los mismos presenten un alto riesgo para los derechos o libertades de los interesados, sería muy recomendable abordar una evaluación de impacto.

 
Consulta previa a la autoridad de protección de datos

 
Si de la evaluación de impacto resulta identificado un alto riesgo que a juicio del responsable de tratamiento no pueda mitigarse por medios razonables atendiendo a la tecnología disponible y los costes de aplicación, el responsable deberá consultar a la autoridad de protección de datos competente. La consulta debe ir acompañada de la documentación que prevé el RGPD, incluyendo la propia Evaluación de Impacto.
 
La autoridad de control asesorará por escrito al responsable y, en su caso, al encargado, y puede hacer uso de todos los poderes que le confiere el RGPD, entre otros el de prohibir las operaciones de un tratamiento concreto.
 
 
El delegado de protección de datos (DPD)

 
El DPD es un profesional cuyas funciones se detallan en el artículo 39 del Reglamento (UE) 2016/679, y que se ocupa de la adecuada aplicación de la legislación sobre privacidad y protección de datos.
 
Según el artículo 37 del Reglamento (UE) 679/2016:

 
·       El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

 
a) El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a las que se refiere el artículo 10.
 
 
·       Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento.
 
·      Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
 
·      En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.
 
·     El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.
 
·       El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
 
·       El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.
 
 
Funciones del DPD

 
·     Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros
 
·      Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales.
 
·       Supervisión de las responsabilidades del personal, así como formarle en las operaciones y actividades relacionadas con la protección de datos personales.
 
·       Asesorar sobre la evaluación de los riesgos a los que está sometida la información de carácter personal, y sobre la evaluación del impacto que supondría los mismos, según el artículo 35 del RGPD
 
·       Supervisar las auditorías correspondientes.
 
·       Cooperar con la autoridad de control cuando lo solicite, realizando las consultas necesarias, y actuando como contacto de la misma para todas las cuestiones relativas al tratamiento de datos personales, incluida la consulta previa a que se refiere el artículo 36.
 
 
Actividades del DPD
 
·        Recabar información para determinar las actividades de tratamiento.
 
·        Analizar y comprobar la conformidad de las actividades de tratamiento.
 
·        Informar, asesorar y emitir recomendaciones al responsable o el encargado del tratamiento
 
·        Recabar información para supervisar el registro de las operaciones de tratamiento.
 
·        Informar sobre la aplicación del principio de la protección de datos por diseño y por defecto.
 
·        Asesorar sobre:
 
a) Conveniencia y necesidad de realizar una evaluación de impacto de la protección de datos.
b) Metodología que debe seguirse al efectuar una evaluación de impacto de la protección de datos cuando proceda.
c) Evaluación de impacto de la protección de datos, y la conveniencia y posibilidades de que sea realizada con recursos propios o externos
d) Medidas de protección técnicas y organizativas.
e) Evaluación de impacto de la protección de datos, gestión de la ejecución y resultados, así como la aplicación de medidas correctoras.
f) Asesorar en particular al responsable del tratamiento sobre:
1) Metodología a emplear al llevar a cabo una evaluación de impacto de la protección de datos cuando proceda.
2) Gestión de auditorías de protección de datos internas o externas.
3) Formación del personal en materia de protección de datos y medidas de seguridad que debe tomar.
4) Asignación de recursos materiales a la protección de datos personales y políticas de la dirección al respecto.
 
 
 
 
 
 
 
 
 
 
 
Cualificación del DPD

 
El DPD deberá reunir conocimientos especializados del Derecho, así como conocimientos básicos en materia de tecnologías de la información aplicables al tratamiento de datos, suficientes para desarrollar su trabajo de forma solvente y responsable, y concretamente sobre:

 
Cumplimiento de normativa relativa al tratamiento de datos personales
Criterios de valoración sobre de finalidades distintas de las que originaron la recogida inicial de los datos y compatibilidad con el tratamiento.
Normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos
Medidas de protección técnicas y jurídicas sobre la información.
Diseño, implantación y gestión de los registros de actividades de tratamiento
Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados, así como la valoración de las mismas atendiendo al ejercicio de derechos por parte de los interesados.
Relaciones contractuales con los encargados de tratamiento.
Transferencia internacional de datos, así como fundamentos y justificación de las mismas.
Diseño e implantación de políticas, medidas e instrumentos técnicos para la protección de datos
Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto.
Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos
Gestión de procedimientos relativos a violaciones de seguridad de los datos, y su notificación a las autoridades de supervisión.
Análisis de riesgos a los que está sometida la información.
Evaluación de impacto sobre la protección de datos
Auditoría en protección de datos
Control de calidad en la prestación de servicios relativos a la protección de datos personales
Gestión de programas de formación y sensibilización del personal en materia de protección de datos.
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Posición y respaldo de la organización al DPD

 
Según el Artículo 38 del Reglamento (UE) 679/2016:

 
-.El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
-.El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
-.El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
-.Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.
-.El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
 
 
 
 
 
 
DPD externo mediante contrato de prestación de servicios

 
Según el artículo 37, punto 6 del Reglamento (UE) 679/2016, el delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
 
En base a las necesidades de la empresa, la contratación de profesionales externos como DPD, avalados y respaldados por LEXDATA CONSULTORES, se realiza exclusivamente por ABOGADOS colegiados y especializados ampliamente, con experiencia demostrada en la materia, siendo directa la contratación de estos servicios entre la empresa y el profesional elegido por el cliente.

 
Cambios en el contrato para el encargo del tratamiento

 
·         En el RGPD se amplía el contenido mínimo del contrato de encargo de tratamiento:
 
·         Objeto y duración del encargo
 
·         Naturaleza del tratamiento
 
·         Tipo de datos personales
 
·         Categorías de los interesados
 
·         Obligaciones y derechos del responsable
 
·         Compromisos de confidencialidad de quienes realicen las operaciones de tratamiento
 
·         Asistencia del encargado al responsable para que pueda atender las solicitudes de ejercicio de derechos
 
·         Supresión o la devolución de los datos al finalizar el encargo
 
·         Obligación de poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del encargado del tratamiento y facilitar la realización de auditorías e inspecciones por parte del responsable o de otro auditor autorizado por el responsable.

 
Obligaciones específicas de los encargados
 
El RGPD, impone obligaciones expresamente dirigidas a los encargados, aunque la responsabilidad última sobre el tratamiento sigue recayendo en el responsable, que es quien determina la existencia del tratamiento y su finalidad.
 
Los encargados del tratamiento tienen además obligaciones propias que establece el RGPD, que no se circunscriben al ámbito contractual con el responsable y que pueden ser supervisadas separadamente por las autoridades de protección de datos. Así deberán mantener un registro de actividades de tratamiento, determinar las medidas de seguridad aplicables a los tratamientos que realizan, y designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.
 
El RGPD establece que los responsables habrán de elegir encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas adecuadas, de manera que el tratamiento sea conforme con los requisitos del RGPD. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados.
 
 
Transferencia internacional de datos personales

 
Según el modelo de transferencias internacionales del RGPD los datos personales sólo podrán ser comunicados fuera del Espacio Económico Europeo:

 
·         A países, territorios o sectores específicos (el RGPD incluye también organizaciones internacionales) sobre los que la Comisión reconozca un nivel de protección adecuado.
·         Cuando se hayan ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destino.
·         Cuando se aplique alguna de las excepciones que permiten transferir los datos sin garantías de protección adecuada por razones de necesidad vinculadas al propio interés del titular de los datos o a intereses generales.
 
 

 
Desde el punto de vista de los responsables y encargados que actualmente realizan transferencias internacionales o que las efectuarán en el marco del RGPD, debe destacarse que:

 
·         Las decisiones de adecuación que la Comisión ha adoptado con anterioridad a la aplicación del RGPD permanecen activas, y podrán seguir realizándose transferencias basadas en ellas, en tanto la Comisión no las sustituya o derogue.
·         Las cláusulas tipo para los contratos en los que se establecen garantías para las transferencias internacionales seguirán siendo válidas hasta que la Comisión las sustituya o derogue.
·         Las autorizaciones de transferencias que las autoridades nacionales de protección de datos hayan otorgado basadas en garantías contractuales seguirán siendo válidas en tanto las autoridades no las revoquen.
·         Las garantías sobre la protección que recibirán los datos en destino deben ser aportadas por quien realiza la cesión internacional de datos, que podrá ser tanto un responsable como un encargado de tratamiento.
·       Se amplía la lista de garantías sobre la cesión, incluyéndose expresamente, entre otros, las Normas Corporativas Vinculantes para responsables y encargados, los códigos de conducta y los esquemas de certificación, así como los cláusulas contractuales tipo aprobadas por las autoridades de protección de datos.
·         En los casos de Normas Corporativas Vinculantes, cláusulas contractuales estándar, códigos de conducta y esquemas de certificación, la transferencia no requerirá la autorización de las autoridades de supervisión.
·         Se añade una excepción sobre la transferencia de datos a un país sin nivel adecuado de protección cuando esa transferencia sea necesaria para satisfacer intereses legítimos urgentes del responsable y la transferencia no sea repetitiva y solo afecte a un número limitado de interesados. En todo caso, la transferencia solo será posible si no prevalecen los derechos, libertades e intereses de los afectados y deberá comunicarse a la autoridad de protección de datos.
 
 
 
 
 

 
Notificación de violaciones de seguridad

 
El responsable estará obligado a notificar una violación de seguridad la autoridad de control, mediante los cauces que esta pudiera establecer, en un plazo máximo de 72 horas desde que tenga constancia de que ha ocurrido, a menos que sea improbable que constituya un riesgo para los derechos y libertades de las personas. Si pudiera comportar un alto riesgo para los derechos de los interesados, el responsable lo deberá comunicar también a las personas afectadas salvo si ha tomado las medidas que impidan su difusión o si esta comunicación supone un esfuerzo desproporcionado.

 
La estimación de alto riesgo en el RGPD debe entenderse como tal cuando sea probable que la violación de seguridad ocasione daños de tipo económico, moral, o personal de consideración a los interesados,- como difusión de números de cuenta bancaria o contraseñas que pudieran utilizarse de forma fraudulenta, o difusión de datos sensibles sobre la persona, como datos de su salud o ideas políticas-.
 
 
Sanciones

 
Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al RGPD sean efectivas, proporcionadas y disuasorias.
 
Dependiendo del artículo del Reglamento General de Protección de Datos que haya sido vulnerado, y sin prejuicio del derecho de indemnización que el Interesado pudiera reclamar judicialmente, las sanciones impuestas sobre infracciones al RGPD pueden ascender de los 10 millones de euros (o el 2% como máximo del volumen de negocio total anual global) hasta los 20 millones de euros (o el 4% como máximo del volumen de negocio total anual global).
Regreso al contenido