El Desayuno de Trabajo de marzo celebrado el pasado 15 de marzo en la sede de Aseyacovi, se centró en el Reglamento General de Protección de Datos (RGPD) 2016/679 del Parlamento y del Consejo de 27 de abril de 2016. Isabel Torregrosa, Consultor de Privacidad y abogada en NTASYS Privacy, fue la encargada de explicar a los presentes las novedades a la hora de gestionar la privacidad de los datos. Estuvo acompañada de Miguel Ángel Catalán, socio de dicha empresa que desarrolla su labor en el ámbito tecnológico.

Este Reglamento es una normativa comunitaria de aplicación directa, es decir, ya está en vigor y será de obligado cumplimiento para todas las empresas que traten datos personales de los habitantes del Espacio Económico Europeo, a partir del 25 de mayo de 2018.

Novedades en el Reglamento General de Protección de Datos

Durante el Desayuno de Trabajo, la ponente hizo hincapié en las obligaciones y deberes de las empresas, que recae en la figura de Responsable de Tratamiento, en base a este nuevo reglamento. Comenzó haciendo mención de la responsabilidad proactiva o accountability, que fue una constante durante toda la jornada, y que incide en el deber de rendir cuentas en el ámbito de datos. “A partir de ahora tenemos que estar en disposición de probar que cumplimos, de ir haciendo las cosas de manera correcta y poder probarlo para que sirva de garantía de cumplimiento”, señaló Isabel.

Otra de las novedades es la incorporación de la figura del Delegado de Protección de Datos (DPD) o Data Protection Oficer (DPO), que puede estar contratado por la compañía o ser un trabajador externo. Esta nueva figura cumple funciones de asesoramiento, supervisión e información en protección de datos, tiene que ser un profesional independiente y será obligatorio para determinadas organizaciones: Administración Pública, un hospital privado, etc. La categoría de los datos y/o volumen de los datos a tratar es lo que va a establecer que sea obligatorio o no. El DPD por tanto, se suma al resto de actores implicados en la protección de datos: personas físicas (interesados), el responsable del tratamiento, el encargado del tratamiento y las autoridades de control nacional y autonómicas (y comunitarias).

En el Reglamento General de Protección de Datos también se elimina la obligación de inscribir los ficheros en la AGPD. Otra de las medidas es la realización de un análisis de riesgos del tratamiento y la evaluación del impacto en caso de que el tratamiento de datos entrañe un alto riesgo para los derechos y libertades de las personas físicas. “Nos tenemos que olvidar de las medidas de seguridad tasadas: el nivel básico, medio o alto. Eso era lo que nos pedía la actual LOPD. Ahora hay que pensar en una primera evaluación a riesgos y a partir de ahí aplicar medidas de seguridad y evaluación. Además, se deben revisar continuamente”, explicó la consultora de privacidad de Ntasys durante el Desayuno de Trabajo.

La necesidad de recabar el consentimiento explícito de los propietarios de los datos personales que se vayan a tratar es otro de los puntos importantes del reglamento. Siempre y cuando la licitud del tratamiento sea el consentimiento. Por ello, Isabel remarcó lo siguiente: “Hay que pedir información conforme a lo que necesitamos, no se debe pedir ni un dato de más. Además, debemos tener conciencia de la utilización que hacemos de los mismos”. La protección de datos “atañe a los derechos fundamentales del ciudadano”. El reglamento además amplía el concepto de dato personal: “cualquier información sobre una persona física, identificada o identificable”. Por ejemplo: una matrícula, una IP dinámica, los identificadores…

Nuevos derechos de los usuarios

Reglamento General de Proteccion de Datos

El Reglamento General de Protección de Datos refuerza los derechos de los ciudadanos sobre sus datos personales y estipula que se deben atender los nuevos derechos que se reconocen a los usuarios, que podrán solicitar sus datos o que estos se transmitan a otro responsable —la portabilidad de los datos— por lo que estos han de estar en un formato común e interoperable que permita este intercambio.

Antes eran los derechos ARCO (acceso, rectificación, cancelación y oposición) los que garantizaban a las personas el control sobre sus datos personales. Ahora se conceden dos nuevos: la limitación del tratamiento, que está vinculado con la oposición (el titular del dato le dice al responsable para que sí y para qué no puede usar los datos), y por otro lado, la portabilidad de los datos: pensado para que de un proveedor se pasen todos los datos a otro mediante la petición de la persona.

La nueva normativa también recoge la incorporación de mecanismos para notificar al usuario y a la Administración en caso de sufrir algún tipo de incidente de seguridad que implique la violación de datos en las 72 horas siguientes. Por tanto, será obligatorio informar de las brechas de seguridad que afecten a los derechos y libertades de los interesados.

El último punto a tener en cuenta será la privacidad desde el diseño y por defecto desde la concepción de sus productos o servicios. “Las nuevas aplicaciones que vengan tienen que estar configuradas por defecto. Se acaba el brindar información adicional”, señala Isabel Torregrosa.

En definitiva, para cumplir con el RGPD siempre hay que ofrecer las garantías suficientes y en el Desayuno de Trabajo, nuestros asociados conocieron las claves principales del nuevo reglamento.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies

ACEPTAR
Aviso de cookies