Ley Orgánica de Protección de Datos

NUEVO REGLAMENTO SOBRE PROTECCIÓN DE DATOS

En abril de 2016, se aprobó el Reglamento (UE) 2016/79 relativo a la protección de datos de las personas físicas.

A partir del día 25 de mayo de 2018 el citado Reglamento es de obligado cumplimiento y de aplicación directa, por lo que todas aquellas disposiciones legales de carácter nacional que sean contrarias al mismo quedan automáticamente derogadas.

Los principales cambios normativos introducidos por el Reglamento son los siguientes:

 

 

PRINCIPIO DE RESPONSABILIDAD PROACTIVA EN EL TRATAMIENTO DE LOS DATOS

En primer lugar, se introduce un principio de responsabilidad proactiva. Dentro del mismo se incluyen determinadas obligaciones para el responsable del tratamiento (es decir, la empresa que recoge y almacena los datos). Principalmente, este principio se centra en la labor que la empresa debe desarrollar de forma previa, encaminada sobre todo a garantizar la seguridad de los datos. Especial atención merecen el uso de herramientas o nubes online como Google Drive o Dropbox. Asimismo, la transmisión de documentos que contengan información personal delicada, como por ejemplo nóminas. Es necesario que el empresario  mantenga unas medidas de seguridad razonables para que en este tipo de situaciones ninguna persona ajena a la información pueda acceder (o al menos pueda hacerlo fácilmente) a la misma.

 

DELEGADO DE PROTECCIÓN DE DATOS

En segundo lugar, se introduce la figura del Delegado De Protección de Datos (DPD), que será obligatorio cuando se cumplan una serie de circunstancias y requisitos, que son los siguientes:

  • Cuando la actividad empresarial en cuestión requiera un seguimiento regular y sistemático de los interesados a gran escala.
  • Cuando la actividad empresarial principal consista en el tratamiento a gran escala de categorías especiales de datos personales relacionados con condenas y delitos.

Además del DPD, debemos tener en cuenta la figura del Encargado del Tratamiento. Este trata de forma individual o conjunta con la empresa datos personales por cuenta del responsable del fichero (la empresa). Se deberá garantizar la aplicación de medidas técnicas y organizativas apropiadas, de forma que el tratamiento sea conforme con los requisitos del Reglamento.

 

CONSENTIMIENTO EXPRESO Y LEGITIMACIÓN

En tercer lugar, uno puntos clave de la nueva legislación, le legitimación. Debemos ser conscientes de que para el tratamiento de datos es necesario ostentar legitimación para ello. Existen diversas formas de obtener dicha legitimación (contratos, cumplimiento de obligación legal, consentimiento… etc). Sin embargo, adquiere especial relevancia el consentimiento, ya que este, frente a la legislación anterior, debe ser expreso e inequívoco. Esto afecta principalmente al envío a través de correo electrónico de comunicaciones comerciales, publicidad, etc., al ser necesario recabar el consentimiento expreso del destinatario.

 

DERECHO DE LOS INTERESADOS

En cuarto lugar, y en relación con el epígrafe directamente anterior, adquiere especial relevancia los derechos de los interesados. Es obligatorio informar la forma de ejercitar los derechos de rectificación, información, acceso y supresión. Estos procedimientos deben ser visibles, accesibles y sencillos, además de gratuitos. Además es necesario tener en cuenta los derechos de nueva creación, por ejemplo el derecho al olvido, limitación y portabilidad.

Es importante estar preparado para adoptar el procedimiento adecuado en caso de ser solicitado.