El nuevo reglamento del Parlamento Europeo (UE 2016/679) y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas y al tratamiento de datos personales y a la libre circulación de éstos, está siendo aplicada desde el 25 de mayo de 2018.
Las multas por no cumplir como es debido esta nueva ley son elevadas, las empresas pueden estar obligadas a pagar hasta 20.000.000€, que pueden incrementarse hasta el 4% del volumen de negocio total anual.
Como vemos es más serio de lo que parece, el RGPD impone un cambio en el tratamiento de datos, y es por ello que establece que quienes traten datos de carácter personal establezcan medidas y las cumplan con estricto rigor.
Uno de los cambios más significativos es el de contar con el consentimiento “sine qua non” del interesado o persona física. Desde el 25 de mayo de 2018, las empresas que traten datos personales deberán contar con el consentimiento expreso del interesado. Si las empresas no disponen de dicho consentimiento explícito, deberán solicitarlo indicando específicamente cada una delas finalidades del tratamiento de datos personales, y dando opción de aceptar separadamente cada una de ellas.
La RGPD establece nuevos derechos para los interesados:
Con este cambio a nivel legislativo, recomendamos revisar los formularios de datos, los consentimientos, las políticas de privacidad y las cláusulas informativas, así como los contratos de encargados de tratamiento, para poderlos adecuar a todas estas novedades.
Para algunas empresas, será necesario el nombramiento obligatorio de un Delegado de Protección de Datos, ya que el RGPD obliga a nombrarlo a las administraciones públicas (exceptuando a los tribunales), o cuando el tratamiento suponga una observación habitual y sistemática de personas a gran escala, o bien éste tenga por objeto categorías especiales de datos a gran escala. Aconsejamos que cada empresa autoevalúe los riesgos y las medidas, concretándolas en el Documento de Seguridad, a modo de guía y norma interna sobre la protección de datos personales.
Si alguna organización sufre una violación de seguridad deberá notificarlo a las autoridades competentes en un plazo máximo de 72 horas desde que se produzca tal hecho.
Quedamos a su disposición para asesorarle en lo que precise.
