Queda menos de un año, el próximo 25 de mayo de 2018, los responsables de ficheros que contengan datos de carácter personal tendrán que cumplir con las nuevas exigencias que trae el Reglamento General de Protección de datos.
Todas las empresas y organizaciones, deben ir adaptándose a las novedades legislativas que trae consigo esta nueva normativa, por ello, ante las innumerables cuestiones y retos que se plantean, les indicamos a continuación, las novedades más relevantes:
La obtención del consentimiento.
Se mantienen los mismos principios del consentimiento que establece la Ley Orgánica de Protección de datos (LOPD): libre, informado, específico e inequívoco. Deberá existir una declaración del interesado o una acción positiva que manifieste la conformidad en el tratamiento de los datos.
El deber de información.
Además de la obligación de informar sobre el proceso de recogida y almacenamiento de los datos, deberá facilitarse a los usuarios la base legal para el tratamiento de los datos, el período de conservación de los mismos y se informará a los interesados que podrán dirigir sus reclamaciones a las autoridades de protección de datos cuando consideren que se están manejando de forma incorrecta.
Los derechos de los interesados.
Los tradicionales derechos reconocidos en la LOPD (acceso, rectificación, oposición y cancelación) se amplían con los derechos a la transparencia de la información, a la supresión, limitación y portabilidad.
La aplicación de medidas de seguridad.
El nuevo RGPD ya no distingue entre ficheros de nivel básico, medio o alto, sino que establece que, las “medidas técnicas y organizativas apropiadas” se aplicarán teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto, los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.
El delegado de protección de datos.
Una de las principales novedades es la introducción de la figura del “data protection officer” o delegado de protección de datos. Esta figura será obligatoria cuando:
El tratamiento lo lleve a cabo una autoridad u organismo público.
Las actividades principales del responsable consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de datos a gran escala.
Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.
.
