Durante el año 2016 se han producido importantes novedades legislativas en materia de protección de datos que afectarán a la transformación digital de las empresas en las que el ‘Dato’ y el data governance cobran un valor importantísimo, teniendo que evaluar las políticas de protección de datos implantadas para adaptarlas a la nueva regulación.
Las principales novedades se centran en el Paquete Europeo de Protección de Datos que entró en vigor en mayo de 2016, compuesto por el Reglamento Europeo de Protección de Datos (RGPD) y la Directiva sobre transmisión de datos en el ámbito policial y judicial, y en el nuevo marco para las transferencias internacionales de datos.
Índice de temas
Reglamento Europeo de Protección de Datos
En relación al Reglamento Europeo de Protección de Datos (en adelante, RGPD), que será aplicable a partir del próximo 25 de mayo de 2018, en escasos dos años, las empresas tendrán que revisar sus políticas de protección de datos y de seguridad de la información, así como sus procesos, para adaptarse a las nuevas exigencias, so pena de multas administrativas superiores a las que nos enfrentábamos ahora (pasando de los 600.000 euros como máximo a los 20 millones de euros, o tratándose de una empresa, a una cuantía equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior).
¿Cuáles son los principales cambios?
- Reforzamiento de los principios de los que derivan las obligaciones en materia de protección de datos. El principio de información introduce nuevos aspectos de los que deberá ser informador el interesado previamente al tratamiento de sus datos; o el principio de consentimiento, que deberá solicitarse de forma expresa y separada respecto de cada una de las finalidades, no siendo posible recabarlo de manera tácita ni de forma global y general.
- Introducción de nuevos principios, como el de ‘accountability’, consistente en la necesidad de acreditar el cumplimiento de las obligaciones establecidas en el RGPD; o los principios de ‘Privacy by design y Privacy by default’, que consisten en la adopción de políticas internas y otras medidas para que desde el diseño y/o por defecto se cumplan las obligaciones en materia de protección de datos.
- Inclusión de nuevos derechos de los interesados: el Derecho de supresión o ‘el derecho al olvido’, o el Derecho a la portabilidad de los datos a otro Responsable del tratamiento; lo que implicará la revisión de los procedimientos establecidos para garantizar el ejercicio de los Derechos ARCO.
- Introducción de nuevas obligaciones para los Responsables del tratamiento entre las que destacan: (1) la realización de una evaluación de impacto, que evalúe el riesgo inherente al tratamiento y determine las medidas apropiadas para mitigarlo; (2) el nombramiento de un delegado de Protección de Datos o DPO (por sus siglas en inglés) con capacidad para tomar decisiones, autónomo e independiente; o (3) la necesidad de que los Estados miembros establezcan mecanismos que garanticen la compensación de los daños y perjuicios derivados de las vulneraciones en esta materia; lo que implicará la necesidad de incluir la protección de datos en los nuevos desarrollos de negocio.
- Reforzamiento del principio de seguridad de la información, al establecerse como obligación notificar en un plazo de 72 horas las brechas de seguridad a la Autoridad de Control, a los interesados y demás agentes intervinientes en el tratamiento de los datos y, en lo que respecta a las medidas de seguridad, a adoptar la novedad que introduce el Reglamento en relación con las establecidas en el Real Decreto 1720/2007, consistente en la necesidad de realizar con carácter previo a establecer cuáles son las medidas técnicas y organizativas que deben establecerse en materia de seguridad de la información, un análisis de los riesgos inherentes al tratamiento de datos; lo que implicará evaluar los riesgos y analizar si las medidas de seguridad implantadas son las adecuadas.
Para seguir leyendo descargue el PDF.