Obligaciones del Reglamento Europeo de Protección de Datos
A pesar de que el Reglamento Europeo de Protección de Datos entró en vigor el 25 de mayo de 2016, se estableció un período de dos años a fin de que los interesados se adaptaran a la nueva normativa. Por lo tanto, es a partir del 25 de mayo de 2018 cuando el Reglamento es directamente aplicable, y a partir de dicha fecha cuando podemos ser sancionados si no cumplimos con lo obligaciones establecidas.
Las obligaciones establecidas por el nuevo Reglamento, y cuyo cumplimiento es obligatorio para todos los profesiones que tratamos datos son:
1.INFORMACIÓN
Hay que informar a todos los interesados de que tratamos sus datos. Con un lenguaje claro y sencillo, tenemos la obligación de informarles de la base legal para el tratamiento de sus datos, los períodos de tiempo que vamos a almacenar sus datos, y la posibilidad de reclamar ante las Autoridades de Protección de Datos. Como novedad, la información puede ofrecerse por capas, y se podrán utilizar iconos normalizados. La información se ofrece por escrito, medios electrónicos u otros medios. Por lo tanto, subsiste la obligación de establecer políticas de privacidad en las páginas web, establecer leyendas al pie de los correos electrónicos, insertar en los contratos que concertemos con los interesados la política de privacidad e informar, de cualquier forma más que se nos ocurra, de las políticas de privacidad oportuna.
2.CONSENTIMIENTO
El consentimiento debe darse mediante un acto afirmativo claro. No se permite el silencio (consentimiento tácito, admitido con la legislación anterior), las casillas ya marcadas o la inacción. Cuando los datos personales los vayamos a utilizar para distintas cosas (por ejemplo, para utilizar su imagen en nuestra página web, pero además para el envío de publicidad), será necesario recabar el consentimiento para cada uno de estos tratamientos.
3.REGISTRO DE ACTIVIDADES
Se establece la obligación de que cada responsable lleve un registro de las actividades de tratamiento. En dicho registro se debe contener la siguiente información: nombre y datos del contacto del responsable, fines del tratamiento, categorías de interesados y categorías de datos personales, a quién le vamos a comunicar esos datos, transferencias de datos a terceros países, plazos para la supresión de los datos y medidas técnicas y organizativas de seguridad.
4.EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS PERSONALES
Esta obligación va a depender del tamaño de nuestra empresa y de la categoría de datos que usemos. El reglamento nos obliga a realizar una evaluación de impacto en los casos de:
-Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado.
-Tratamiento a gran escala de las categorías especiales de datos o datos personales relativos a condenas e infracciones penales.
-Observación sistemática a gran escala de una zona de acceso público.
La Agencia Española de Protección de Datos ha facilitado una guía para realizar esta evaluación, y puedes obtenerla aquí.
5.DESIGNAR UN DELEGADO EN PROTECCIÓN DE DATOS.
Se establece igualmente la obligación de designar un delegado en protección de datos en determinados supuestos. Dicha figura será recomendable en muchos casos (dependiendo de las necesidades de la empresa), pero sólo es obligatoria cuando:
-El tratamiento lo lleve a cabo un organismo o autoridad pública (excepto función judicial).
-Observación sistemática y habitual de interesados a gran escala.
-Tratamiento a gran escala de categorías especiales de datos y de datos relativos a condenas e infracciones penales.
6.ENCARGADO DEL TRATAMIENTO.
Susbsiste la obligación establecida por la normativa anterior de celebrar un contrato por escrito con los encargados de tratamiento que designemos. Siempre que cedamos los datos que nos ha proporcionado una persona a otro sujeto, debemos celebrar con éste un contrato por escrito (por ejemplo, si contratamos una gestoría para que se encargue de la elaboración de nóminas de nuestros trabajadores, la gestoría será considerada un encargado del tratamiento, y deberemos poseer el correspondiente contrato con los requisitos marcados por el reglamento). Además, se introduce una nueva figura, que es el corresponsable del tratamiento, prevista para aquellos supuestos en que sean dos o más los responsables que determinen los objetivos y los medios del tratamiento.
Si tienes cualquier tipo de duda, te la resolvemos aquí.
4 comentarios
Excelente artículo. Me ha venido de perlas para planificar la regulación de mi empresa
Muy bien, interesante artículo desde la perspectiva del obligado a cumplir la normativa de protección de datos; ahora, otro bajo el prisma del derecho a que tus datos sean protegidos y las medidas a adoptar si se violan.
Felicidades por el blog, espero leerte con regularidad.
Resumen de la normativa de proteccion de datos que explica de manera clara y concisa. Gracias por tu inestimable ayuda.
Esto lo explica, ya entiendo mejor el tema de protección de datos y por qué tengo el correo lleno de mensajes que me piden que confirme la autorización a usar mis datos.
Los comentarios están cerrados.