En esta segunda parte vamos a enumerar algunas de las más destacadas novedades del nuevo Reglamento General de Protección de Datos:
•Las Fuerzas y Cuerpos de Seguridad y los Jueces y Tribunales quedan fuera de este Reglamento. Para ellos se redacta una Directiva específica.
•Es bastante probable que se elimine la obligación de notificar ficheros a un Registro Administrativo tal como existe hoy en España. Aunque, en conversaciones mantenidas con alguna persona con criterio en la Administración no queda claro si finalmente en España se aplicará por la aplicación del principio de transparencia, de acceso, y de facilitar el ejercicio de derechos por los ciudadanos.
•Se aclaran y definen las formas de otorgar consentimiento. No se autorizan el tácito ni el presunto.
•Se definen y amplían las categorías de datos. Se amplía la información necesaria a incluir en las cláusulas de información en la recogida de datos.
•Se incluye un nuevo derecho: “Derecho al Olvido”.
•Se regula la confección de perfiles-segmentación en base a comportamientos.
•Se prohíbe hacer perfiles a menores. Menor se define según la “UN Convention on the Rights of the Child”.
•Se introduce claramente el concepto de “responsabilidad ”, “debida diligencia” y la obligación de mantener carga de prueba de la correcta aplicación de la normativa.
•Muy Importante: en caso de pérdida, robo, hacking, o cualquier otra circunstancia que permita que los datos sean accedidos o comunicados a personal no autorizado, se introduce la obligación de notificar el hecho a la Autoridad de cada país (en España a la Agencia Española de Protección de Datos) y a las personas afectadas en un plazo de 24 horas desde que se conoce. (Brecha de seguridad).
•Se regula el marketing directo y publicidad, y como se podrá realizar: consentimiento expreso.
•Para determinados tratamientos (entre otros, para videovigilancia, menores, biométricos, genéticos,…) será necesario un Informe de Impacto sobre la protección de datos personales. Los informes de Impacto deberán ser públicos.
•Se introduce y se regula la figura del D.P.O. (Data Privacy Officer) para empresas de 250 empleados o más. La figura del D.P.O. será obligatorio para TODAS las Administraciones Públicas. La figura del DPO deberá tener los conocimientos y experiencia suficientes en Protección de Datos.
•Se regulan las relaciones entre Titular de Ficheros/Encargado(s) de Tratamiento, definiendo las responsabilidades. Se regula la responsabilidad por la elección del encargado de tratamiento, así como la diligencia en asegurarse del cumplimiento del Reglamento por parte del Encargado.
•Se introducen ya directamente en el texto legal los conceptos de “Privacy By Design” y de “Privacy By Default”. En estos conceptos se insta a introducir la atención a la protección de datos personales desde el diseño inicial de las operaciones y tratamientos, y que se activarán por defectos todos los mecanismos de protección de la privacidad.
•Los informes que por ley deban presentar las entidades, p.e.: Informe Anual de Auditoría de Cuentas u otros exigibles, deberán incluir un apartado específico sobre el cumplimiento de la normativa y los riesgos incurridos.
•Se autoriza a Organizaciones, Asociaciones u otros tipos de entidades efectuar denuncias en nombre de los afectados.
•Es bastante probable que se elimine la obligación de notificar ficheros a un Registro Administrativo tal como existe hoy en España. Aunque, en conversaciones mantenidas con alguna persona con criterio en la Administración no queda claro si finalmente en España se aplicará por la aplicación del principio de transparencia, de acceso, y de facilitar el ejercicio de derechos por los ciudadanos.
•Se aclaran y definen las formas de otorgar consentimiento. No se autorizan el tácito ni el presunto.
•Se definen y amplían las categorías de datos. Se amplía la información necesaria a incluir en las cláusulas de información en la recogida de datos.
•Se incluye un nuevo derecho: “Derecho al Olvido”.
•Se regula la confección de perfiles-segmentación en base a comportamientos.
•Se prohíbe hacer perfiles a menores. Menor se define según la “UN Convention on the Rights of the Child”.
•Se introduce claramente el concepto de “responsabilidad ”, “debida diligencia” y la obligación de mantener carga de prueba de la correcta aplicación de la normativa.
•Muy Importante: en caso de pérdida, robo, hacking, o cualquier otra circunstancia que permita que los datos sean accedidos o comunicados a personal no autorizado, se introduce la obligación de notificar el hecho a la Autoridad de cada país (en España a la Agencia Española de Protección de Datos) y a las personas afectadas en un plazo de 24 horas desde que se conoce. (Brecha de seguridad).
•Se regula el marketing directo y publicidad, y como se podrá realizar: consentimiento expreso.
•Para determinados tratamientos (entre otros, para videovigilancia, menores, biométricos, genéticos,…) será necesario un Informe de Impacto sobre la protección de datos personales. Los informes de Impacto deberán ser públicos.
•Se introduce y se regula la figura del D.P.O. (Data Privacy Officer) para empresas de 250 empleados o más. La figura del D.P.O. será obligatorio para TODAS las Administraciones Públicas. La figura del DPO deberá tener los conocimientos y experiencia suficientes en Protección de Datos.
•Se regulan las relaciones entre Titular de Ficheros/Encargado(s) de Tratamiento, definiendo las responsabilidades. Se regula la responsabilidad por la elección del encargado de tratamiento, así como la diligencia en asegurarse del cumplimiento del Reglamento por parte del Encargado.
•Se introducen ya directamente en el texto legal los conceptos de “Privacy By Design” y de “Privacy By Default”. En estos conceptos se insta a introducir la atención a la protección de datos personales desde el diseño inicial de las operaciones y tratamientos, y que se activarán por defectos todos los mecanismos de protección de la privacidad.
•Los informes que por ley deban presentar las entidades, p.e.: Informe Anual de Auditoría de Cuentas u otros exigibles, deberán incluir un apartado específico sobre el cumplimiento de la normativa y los riesgos incurridos.
•Se autoriza a Organizaciones, Asociaciones u otros tipos de entidades efectuar denuncias en nombre de los afectados.
Sanciones
Se establecen tres niveles de sanciones, atendiendo a su efectividad, proporcionalidad y capacidad de disuasión:
Hasta 250.000 € o hasta 0,5 % de su volumen de negocios anual a nivel mundial.
Hasta 500.000 € o hasta 1 % de su volumen de negocios anual a nivel mundial.
Hasta 1.000.000 € o hasta 2 % de su volumen de negocios anual a nivel mundial.
El REGLAMENTO es bastante más denso, pero en términos generales estas son las novedades más relevantes. De estos cambios se deducen que serán necesarias muchas acciones de adaptación en las entidades, por ejemplo:
1.Será necesario cambiar TODAS las cláusulas de información, en papel y on-line
2.Se deberán revisar y actualizar los consentimientos recibidos
3.Será necesario revisar y adaptar TODOS los contratos de tratamiento por terceros.
4.Será necesario mantener con extrema diligencia toda la documentación exigible.
5.Se deberá nombrar un Delegado de Protección de Datos, interno o externo, en los casos requeridos, no obstante para menos de 250 empleados será una buena práctica para mostrar diligencia.
6.Se deberán notificar en 24 horas a la AEPD y a los afectados los robos, pérdidas o hackeos de datos personales.
7.Se deberán establecer políticas, procedimientos y procesos específicos para el cumplimiento de esta normativa, y para evidenciar la diligencia en el cumplimiento.
La conclusión es que la UE se toma en serio la protección del derecho a la protección de datos personales y está decidida a que se cumpla de manera uniforme en toda la UE, por lo que todas las entidades afectadas harían bien en prepararse anticipadamente en el cumplimiento.
La Consultoría externa deberá ser efectuada por empresas de reconocida solvencia, preparación y experiencia en protección de datos, para evitar los riesgos de una incompleta o incorrecta aplicación de la normativa.
No hay comentarios:
Publicar un comentario