SaymaSayma

Actualidad

Volver a Actualidad

Cinco sencillos cambios de la nueva normativa de protección de datos

Imprimir

Estrategia Empresarial

LUIS ÁNGEL GONZÁLEZ.
Abogado Consultor, Protección y Seguridad de datos de Sayma

El 25 de mayo entra en vigor el Reglamento UE 679/2016 que modifica sustancialmente la regulación de la protección de datos.

Se entendió como suficiente el plazo de dos años, para que los estados desarrollasen sus propias normas, y para que las empresas se adaptasen. La realidad es que la nueva Ley Orgánica de Protección de Datos española, no está aprobada. El anteproyecto lleva en el Congreso desde noviembre.

El reglamento europeo será aplicable para la defensa del derecho fundamental a la protección de datos en unos días. ¿Qué es lo que debemos de cambiar?:

1. -Información a los interesados: Hay que informar de la causa de legitimación sea la ejecución de un contrato, el connsentimiento del interesado o alguna de las previstas en el reglamento. También del tiempo que se conservará, de los derechos del interesado y de la posibilidad de presentar una
reclamación ante la AEPD.


2. - El consentimiento: Debe de ser siempre expreso. No se admite el consentimiento tácito. Se ha de conservar la prueba del mismo. Las entidades que no cuenten con prueba de que tienen el consentimiento deben obtenerlo o bien borrar o destruir dichos datos.


3. - Registro de actividades de tratamiento: Los responsables deben llevar un documento en el que se detallen los tratamientos que implican el uso de datos personales, las finalidades, los medios empleados, las personas con acceso. Este documento debe detallar las políticas y las medidas de seguridad. Estas tienen que ser suficientes para evitar la alteración, la perdida, el acceso no autorizado, garantizar la disponibilidad y la resiliencia del sistema informático usado. Deben probarse.


4. - Análisis de riesgos: Es parte del registro de actividades de tratamiento. El fin es determinar si la organización analizada debe de realizar evaluaciones de impacto o contar con un delegado de protección de datos: Evaluación de impacto: La finalidad es realizar un mapa de riesgos asociados al tratamiento de los datos, la probabilidad de que se produzca, así como los daños que se producirían. Está reservado para empresas que hacen una explotación de los datos personales o los manejan a gran escala. Delegado de protección de datos: Es un experto que representa a la organización ante los interesados y la AEPD. Es obligatorio para actividades en las que se tratan datos a gran escala de modo habitual y sistemático o categorías especiales de datos. La nueva LOPD lo establece también como obligatorio para entidades que desarrollan actividades concretas. Se ha de recordar que ese texto debe de ser aprobado.


5. - Encargados de tratamiento: Cambian los modelos de contrato con quienes acceden a los datos de los responsables para la prestación de un servicio.

Tras casi 20 años de la actual ley más del 40% de las empresas de la CAPV no cumplen con la normativa de protección de datos. Sorprende ver cómo este se tiene como un tema menor, no resuelto o aplazado.

Como siempre, a última hora, las empresas vascas empiezan a ver la que se les viene encima.
Quienes ya cumplían no deben hacer muchos cambios, salvo que manejen datos a gran escala o categorías especiales de datos. No es este el caso de la mayor parte de las empresas vascas, que son de corte industrial, especialmente en Bizkaia y Gipuzkoa.

La situación de incertidumbre se verá agravada: Van a coexistir el nuevo reglamento con la LOPD de 1999 y el RD 1720/2007 de desarrollo de la anterior, ya que no han sido expresamente derogadas. Será la AEPD y los tribunales quienes determinen qué artículos concretos de la ley y del reglamento españoles quedan derogados.

Todo no son malas noticias: El régimen sancionador está en la nueva ley. Como esta norma no estará vigente hasta su aprobación, no podrá haber sanciones por el incumplimiento de lo establecido en el Reglamento de la UE, pero sí podrá seguirlas habiendo por incumplir la LOPD.