El pasado 25 de mayo de 2016, entró en vigor el nuevo Reglamento General de Protección de Datos (REGLAMENTO (UE) 2016/679), para el cual, se daban dos años de adaptación siendo su entrada en vigor el próximo 25 de mayo de 2018. Durante este periodo de transición, el objetivo ha sido permitir que las empresas y organismos se adaptasen a este nuevo reglamento y estar preparados para el momento de dicha aplicación.

Este reglamento es una norma directamente aplicable que no requiere de transposición en normas internas de los estados. No obstante, las normativas actuales serán vigentes en aquello que no estén en contra de lo indicado en el reglamento. Este modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.

En cuanto a su contenido, aumenta el rango de aplicación a responsables y encargados del tratamiento de los datos no establecidos dentro de la Unión Europea siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento. Estos deberán nombrar un representante en la Unión Europea que se encargue del enlace entre las Autoridades de supervisión y de los ciudadanos. De esta forma se protege más al ciudadano, evitando como hasta ahora que empresas de fuera de la Unión Europea traten datos de los ciudadanos europeos bajo las leyes propias de otros países.

“El nuevo Reglamento establece un principio de responsabilidad proactiva, por el cual las organizaciones deben analizar qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones respecto del tratamiento de los datos.”

Introduce además nuevos principios como el de transparencia y minimización de los datos. Entre otras cuestiones, la información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Y en cuanto al consentimiento, con carácter general, especifica claramente que debe ser libre, informado, específico e inequívoco.

Este nuevo Reglamento establece actualiza y mejora algunos derechos (información y acceso) e introduce algunos elementos nuevos adaptándose a las nuevas necesidades de los ciudadanos, como pueden ser el derecho al olvido (Cuando nuestros datos ya no se están usando para la finalidad para los que fueron recabados, los ciudadanos podemos solicitar y obtener de los responsables la supresión de los datos), limitación del tratamiento (especificando circunstancias en las que se puede limitar el uso y tratamiento de los datos) y el derecho a la portabilidad (posibilidad de recibir los datos del tratamiento de una forma estándar e incluso la transmisión a otro encargado del tratamiento). Todos estos están enfocados realmente a mejorar la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

En cuanto al encargado del tratamiento introduce algunas nuevas obligaciones expresas, no especialmente derivadas del contrato con el responsable, como:

• Deben mantener un registro de actividades de tratamiento.
• Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.
• Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD

La norma establece como edad mínima de 16 años para la recogida y tratamiento de los datos a menores. En todo caso, abre una posibilidad para que los Estados miembro puedan regular la edad permitida, que por ejemplo España establece en 14 años, aunque siempre ponen un límite de los 13 años como mínimo. Además, el consentimiento ha de ser verificable y debe expresarse en un lenguaje entendible por niños.

El mayor cambio de este reglamento se produce en la gestión y análisis de riesgos. Este reglamento quiere regular el que, actuar solo cuando se lleve a cabo una infracción no es suficiente por lo que establece una serie de criterios y normas para evitar los riesgos. Esta gestión prevé una serie de medidas:

• Protección de datos desde el diseño
• Protección de datos por defecto
• Medidas de seguridad
• Mantenimiento de un registro de tratamientos
• Realización de evaluaciones de impacto sobre la protección de datos
• Nombramiento de un delegado de protección de datos
• Notificación de violaciones de la seguridad de los datos
• Promoción de códigos de conducta y esquemas de certificación.

Esto puede conllevar que algunas empresas tengan que cambiar la gestión de los recursos destinados a la Protección de datos.

Como se puede observar son muchos los cambios que se introducen a nivel de Protección de Datos en unos meses por lo que tu empresa u organismo deberá adoptar una serie de medidas en poco tiempo.

Controlsys, está preparada para ayudar a nuestros clientes en el análisis de necesidades que este cambio conllevará y, en colaboración con Audisec, tenemos la posibilidad de ofrecer una herramienta, GlobalSUITE® – Data Protection (GDPR), concebida para servir de ayuda en la implantación, gestión y mantenimiento del Reglamento General de Protección de Datos a través de un proceso sencillo, ágil, automatizado y trazable, estando adaptada al cumplimiento del reglamento por lo que tu empresa u organismo puede adaptarse a la nueva norma de una manera fácil y económica. Puedes obtener más información de nuestros productos y servicios en nuestro apartado dedicado a la gestión de LOPD / RGPD.

Además, dejamos acceso a unas guías publicadas por la Agencia Española de Protección de Datos que pueden ayudar a entender mejor el cambio: