Muchos de los conceptos del RGPD ya son conocidos de la LOPD, de forma implícita, en la actual normativa de la LOPD, no obstante el nuevo reglamento introduce nuevos aspectos y elementos que comportan nuevas obligaciones para las empresas y organizaciones de la UE.
Las principales novedades que trae el RGPD son las siguientes:
Análisis de riesgo y responsabilidad proactiva
El análisis de riesgo implica que la organización debe tener muy en cuenta el riesgo del tratamiento para los derechos y libertades de las personas. Esto implica que cuando haya un riesgo susceptible de afectar a los derechos y libertades se aplicarán las medidas de seguridad del RGPD que correspondan para minimizar esos riesgos.
Para determinar qué medidas del RGPD que se deban aplicar se tendrá en cuenta la naturaleza, el ámbito, el fin y el contexto del tratamiento. Las medidas del RGPD se aplicarán dependiendo del nivel y tipo de riesgo del tratamiento en cuestión.
Por otra parte, el Principio de Responsabilidad Proactiva dice que el responsable del tratamiento debe aplicar medidas técnicas y organizativas que garanticen que el tratamiento es conforme con el reglamento. Por lo tanto, el Responsable del Tratamiento toma la iniciativa en cuanto a la gestión de los datos personales y por tanto valora la tipología y finalidad de los datos que tratan y, a partir de ese análisis, decide adoptar las medidas adecuadas que sugiere el RGPD.
Nuevos derechos: limitación, portabilidad, olvido
El derecho de limitación: Este derecho, supone poner límites al tratamiento de los datos personales. El titular, o su representante legal, podrá solicitar suspender el tratamiento de dichos datos en determinados supuestos, y el responsable deberá informar a la persona antes de volver a tratar con sus datos personales.
Derecho de portabilidad: Este derecho, implica que el titular puede solicitar una copia de los datos personales que haya facilitado en un formato “estructurado, de uso común y lectura mecánica”. No significa la terminación del servicio, solamente la obtención de los datos, por ejemplo al cambiar de proveedor de un servicio. Un ejemplo muy común es el que realizan las operadoras de telefonía.
Derecho al olvido: El titular puede solicitar la eliminación de sus datos cuando se cumpla alguno de estos casos:
- Cuando los datos ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados.
- Cuando el interesado retire su consentimiento para el tratamiento.
- Cuando el interesado se oponga al tratamiento y no prevalezcan otros motivos legítimos para el tratamiento.
- Cuando los datos hayan sido tratados ilícitamente.
- Cuando los datos deban suprimirse para el cumplimiento de una obligación que se aplique al responsable del tratamiento.
- Cuando los datos se hayan obtenido en relación de la oferta directa a niños de servicios de la llamada “sociedad de la información”.
Sanciones más cuantiosas
El RGPD establece cuantiosas sanciones, mucho más altas que la LOPD. La multa administrativa puede llegar a 10.000.000.- de euros o al equivalente al 2% de la facturación total anual de la organización en caso de sanciones graves, o 20.000.000 de euros o del 4% en caso de sanciones muy graves.
Evaluaciones de impacto
Evaluación de impacto o PIA (Privacy Impact Assessment). Según la AEPD, una Evaluación de Impacto es el ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados, con el fin de afrontar la gestión eficaz de medidas necesarias para eliminarlos o mitigarlos.
Se deberá hacer una evaluación cuando:
- Evaluación sistemática y exhaustiva de aspectos personales (perfiles)
- Tratamientos a gran escala
- Observación sistemática a gran escala de una zona de acceso público
Registro de Actividades de Tratamiento (RAT)
EL RGPD establece que las organizaciones deberán realizar un registro de actividades de tratamiento de datos personales, especificar qué tipo de datos se recogen, con qué finalidad, quiénes son los encargados de tratamiento.
La obligación de realizar el RAT corresponde al responsable y a los encargados de tratamiento.
Los requisitos de obligado cumplimiento para realizar un RAT son:
- Cuando una empresa u organización tiene más de 250 trabajadores.
- Cuando realizas tratamientos que pueden ocasionar un riesgo para los derechos y libertades de los interesados o incluya categorías especiales de datos o aquellos relativos a condenas de infracciones.
- Si se realizan tratamientos que no sean ocasionales.
En SEGURINFO, te podemos asesorar con las obligaciones del RGPD. Infórmate sin compromiso.
Y si quieres ofrecer los servicios a tus clientes infórmate AQUI.