¿Qué es?

Con fecha 27 de abril del 2016, el Parlamento Europeo y el Consejo de la Unión Europea aprobó el Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD – Reglamento General de Protección de Datos) y por el que se derogaba la Directiva 95/46/CE.

En él se establecía un nuevo marco jurídico para el tratamiento y circulación de datos personales de aplicación para todos los países de la Unión Europea, con el objetivo de garantizar una aplicación uniforme en todos los Estados miembros y elevar el nivel de protección de datos de las persones físicas.

Si bien entró en vigor el 25 de mayo de 2016, su inicio de aplicación se estableció para el 25 de mayo del 2018, es decir, dándose dos años para que los Estados de la Unión Europea, sus Instituciones y organizaciones,  responsables y encargados de tratamientos de datos de carácter personal pudieran prepararse y adaptarse al nuevo marco legal. Ello significa que desde el día 25 de mayo del 2018 todos deberán estar dando correcto cumplimiento al RGPD.

Este Reglamento es de aplicación directa, por lo que no ha sido necesario transposición de la norma, lo cual significa que en España, a la fecha de entrada en aplicación del RGPD, deberán quedar derogadas las actualmente vigentes Ley Orgánica 15/1999 de Protección de datos y su Real Decreto 1720/2007 de desarrollo de la Ley.

El nuevo reglamento incorpora el principio de la responsabilidad proactiva, por lo que las empresas deberán de aplicar todos los medios y medidas de Seguridad de acuerdo con los riesgos identificados y estar en todo momento en condiciones de poder acreditar que el tratamiento es conforme con la normativa.

El incumplimiento del RGPD contempla sanciones y multas que pueden alcanzar cuantías de hasta 20  millones de euros o el 4% del volumen de negocio del ejercicio anterior.

¿Cuáles son los cambios relevantes que le pueden afectar?

  • El Reglamento obliga a quienes realicen ciertos tratamientos, a nombrar un DPO, que podrá ser externo o interno. Un DPO deberá ser una persona experta en Protección de Datos y en métodos y técnicas de Seguridad de la información y puede ser tanto una persona física como jurídica. La designación del DPO debe comunicarse a la AEPD. Quienes no estén obligados, pueden designar un DPO de forma voluntaria.
  • Se amplían las categorías especiales de datos como datos biométricos, genéticos, opiniones políticas y orientación sexual.
  • Llevanza de un Registro de actividades de tratamiento tanto como Responsables como en aquellos casos en los que actuemos como Encargados de tratamiento y debe estar disponible tanto para autoridades de protección de datos como para los interesados.
  • Se introduce el Principio de protección de datos desde el diseño y por defecto, es decir, ya desde las fases iniciales en el desarrollo de un servicio, aplicación, etc …
  • Realización de un análisis de riesgos con el objetivo de identificar los riesgos a los que están sometidos los datos tratados.
  • Se amplía la lista de derechos, pasando de los conocidos como derechos ARCO a los derechos POLIARSO (Portabilidad, Oposición, Limitación del tratamiento, Información, Acceso, Rectificación, Supresión/derecho al olvido y Oposición a ser objeto de decisiones individuales automatizadas)
  • El RGPD no establece diferenciación entre datos personales y datos ‘profesionales’ (datos de contacto de personas físicas que prestan sus servicios en una persona jurídica y empresarios individuales) como estableció el vigente Reglamento, lo que obligará a las empresas a tener que realizar acciones informativas a esta categoría de datos.
  • Se amplía el contenido mínimo en los contratos de acceso a datos por parte de terceros, por lo que deberán de establecerse de nuevo los contratos con los encargados de tratamiento, dado que los actuales no cumplen con el RGPD.
  • Se amplían las obligaciones de información a los afectados, lo que obligará ponerles al día en dicha información a los ya existentes.
  • Se elimina el consentimiento tácito (por silencio), lo que obligará a las empresas a recabar un nuevo consentimiento para poder mantener todos aquellos datos que en el pasado se obtuvieron tácitamente o buscarles otra cobertura legal.
  • Violaciones de la seguridad de los datos personales. Obligatoriedad de comunicarlas  en un plazo de 72 horas a la Agencia Española de Protección de Datos, y en casos graves, a los propios afectados.
  • Exigencia de la realización de una evaluación de impacto relativa a  la protección de datos para ciertos tratamientos. La AEPD publicará una lista de los tipos de operaciones de tratamiento a los que les será exigible.

¿Para quién?

Para empresas, organismos públicos y privados que traten datos de carácter personal.

¿Qué beneficios aporta a tu empresa?

Implantación del RGPD en tu empresa

Cumplimiento del nuevo Reglamento General de Protección de Datos (RGPD).

Equipo de expertos en Protección de Datos

Formación y asesoramiento por nuestro equipo de expertos en el tratamiento de protección de datos. 

Funciones como Data Process Officer (DPO)

Contrata un DPO y evitará sanciones e infracciones en protección de datos. 

Defensa legal

Nuestro equipo de abogados son especialistas en defender tus intereses como empresa ante cualquier sanción o infracción que marque el nuevo RGPD. 

  Acepto la Política de privacidad, y autorizo el tratamientode de mis datos conforme a la consulta realizada

  Autorizo a JDA a enviarme, vía e-mail, información carácter comercial relativa a sus productos y servicios

¿Quieres más información?

Jordi Díaz

Director Área Consultoría