Doc. Ref. 11133 Título: El nuevo reglamento europeo de protección de datos con entrada en vigor en 2018 Autor: Philippe Calvó Última actualización: 15/09/2016

---

documentos\Cliente-3223-HEXA-Nuevo Reg.euro.Prot.Dat. 2018-Doc.11133.htm

El nuevo reglamento europeo de protección de datos con entrada en vigor en 2018

El 25 de mayo de 2018 entrará en vigor el nuevo Reglamento Europeo de Protección de Datos. Hasta entonces, en España, sigue siendo de aplicación la actual LOPD y su correspondiente Reglamento.

n este documento resumimos las novedades que supone el nuevo Reglamento para poder anticiparnos en su cumplimiento.

El ámbito territorial al que afecta supone cualquier tratamiento de datos por parte de encargados o responsables con establecimiento en la UE independientemente de que dicho tratamiento tenga lugar o no en la UE.

Afecta a cualquier tratamiento de datos personales de interesados que residan en la UE por un responsable o encargado no establecido en la UE cuando la actividad esté relacionada con oferta de bienes o servicios o la monitorización de comportamientos que tienen lugar dentro de la UE

Respecto al consentimiento:

• El responsable deberá ser capaz de demostrar que el interesado ha consentido el tratamiento de sus datos.
• Los textos sobre el consentimiento deben estar separados de otros asuntos y deben ser fáciles de entender.
• La retirada del consentimiento debe ser sencilla, tanto como la concesión.
• Un menor de edad sólo puede dar su consentimiento a partir de los 16 años (los estados pueden reducirla sin bajar de 13). El responsable debe hacer un esfuerzo razonable para comprobar el consentimiento del tutor del menor.
• No se puede dar el consentimiento en una casilla previamente marcadas o, en general, por inacción.
• Si hay varios fines en el tratamiento, hay que consentir cada uno de ellos por separado.

Los datos especialmente protegidos: sólo se pueden tratar si:

• Son necesarios para el responsable en el tratamiento de datos relacionados con derecho laboral y seguridad y protección social.
• Son necesarios para intereses vitales.
• El tratamiento es realizado por un organismo sin ánimo de lucro relacionado con una actividad legítima.
• El interesado ha manifestado sus datos públicamente.
• Hay razones de interés público esencial, medicina preventiva, interés de salud pública, investigación.

Derecho de acceso, rectificación y oposición:

• No hay plazo de respuesta, se debe dar “sin dilaciones indebidas”
• Supuestos para la cancelación / derecho al olvido
  • Si los datos ya no son necesarios para le fin para el que fueron recogidos.
  • El interesado retira el consentimiento o se oponga al tratamiento.
  • Cumplimiento de una obligación legal.
• El interesado tiene derecho a solicitar que sus datos se transmitan a otro responsable

En relación con el responsable:

• Debe asegurar que el tratamiento se hace de acuerdo con el Reglamento y debe ser capaz de demostrarlo.
• Debe llevar un registro de actividades de tratamiento.
• Tratará los datos de acuerdo con la finalidad para la que fueron registrados.
• Si no está establecido en la UE, debe designar un representante en la UE.

Sobre el encargado del tratamiento:

• Debe constar en un contrato u otro acto jurídico.
• Debe informar al responsable de la necesidad de nuevos encargados.
• Debe realizar el tratamiento de acuerdo con el Reglamento y debe ser capaz de demostrarlo.

Violación de seguridad en datos personales:

• El encargado lo notificará al responsable.
• El Responsable lo notificará a la autoridad de control antes de 72h desde que haya tenido constancia.
• Si hay alto riesgo para los derechos y libertades del interesado, se le informará.
• El responsable lo documentará con hechos, efectos y medidas adoptadas.

Medidas de seguridad:

• El reglamento establece que el Responsable establecerá las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
• Los responsables y encargados deben ser capaces de demostrar el cumplimiento del Reglamento.
• El reglamento ya no establece medidas concretas, sólo menciona en general medidas de:
• Seudonimización (tratamiento de datos de forma que no puedan atribuirse a un interesado concreto sin utilizar información adicional) y el cifrado de datos personales.
• Capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios del tratamiento.
• La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
• Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad el tratamiento.

El Delegado de Protección de Datos (DPO).

• Es una figura nueva que tiene la función de:
  • Informar y asesorar al responsable, los encargados y a los empleados de sus obligaciones en relación con los datos personales.
  • Supervisar el cumplimiento del Reglamento.
  • Cooperar con la autoridad de control actuando como punto de contacto.
  • Atender a los interesados que se pongan en contacto con él en relación al tratamiento de sus datos.
• Debe designarse si:
  • El tratamiento es realizado por un organismo público.
  • Hay una observación sistemática de interesados a gran escala.
  • Se trata de categorías especiales de datos personales o relativos a infracciones penales.
  • La empresa tenga más de 250 personas.
• Debe estar cualificado. Puede ser una persona de la plantilla de la empresa o ser externo con un contrato de servicios; sus datos se deben publicar y comunicar a la autoridad de control.
• El responsable debe asegurar que el DPO participa adecuadamente en las cuestiones relacionadas con la protección de datos, proporcionarle los recursos necesarios, permitirle desempeñar su función de forma libre y sin que se produzca conflicto de intereses con otras funciones.

Transferencias internacionales:

• Se pueden realizar sin requerir autorización a aquellos países para los que la Comisión haya decidido que garantizan un nivel de protección adecuado.

Volver a la búsqueda anterior