Espacio Legal

Despacho de abogados en Madrid Barcelona y Asturias

El 25 de mayo entra en vigor el Reglamento General de Protección de Datos (RGPD), uno de los cambios normativos más importantes de la Unión Europea. Es de obligado cumplimiento para todas las empresas, independientemente de su tamaño. Éstas deben adaptar sus protocolos y estructuras si no quieren ser sancionadas. En Espacio Legal te ayudamos en la transición a este cambio normativo.

 

¿Afecta a las PYMES y autónomos?

Sí, la nueva norma afecta a cualquier empresa u organización incluidos los profesionales por cuenta propia, siempre y cuando recopilen o utilicen datos personales de personas físicas de cualquier parte de la Unión Europea.

La normativa establece cuales son las responsabilidades  respecto al uso, recopilación y protección de esos datos.

¿Es igual para todas las empresas?

Existen importantes modificaciones normativas, sin embargo no todas las empresas deben de aplicar la RGPD de la misma manera. Para evitar gastos innecesarios o incurrir en errores que pueden derivar en una sanción, es recomendable dejarse aconsejar por profesionales que le ayudarán a establecer los procedimientos y medidas reales para adaptarse al nuevo reglamento.

¿A qué se enfrentan quienes incumplan la RGPD?

A una sanción que puede ser leve, grave o muy grave. La cuantía de las sanciones se fija en el artículo 84, concretamente en sus apartados 4 y 5, y oscilan entre los 10 y los 20 millones de euros, según los casos y un porcentaje de la facturación de la empresa del 2 o el cuatro por ciento.

 

PRINCIPALES NOVEDADES DEL RGPD

  1. RESPONSABILIDAD PROACTIVA: a partir del nuevo reglamento son las empresas quienes deben de definir las medidas de seguridad a implantar en función del tipo de datos que almacenan. Hasta ahora, la Ley Orgánica de Protección de Datos contemplaba un listado de medidas a implantar (de nivel bajo, medio o alto), con el RGPD, las organizaciones deben de hacer un DATA MAPPING, es decir elaborar un inventario de flujo de datos, identificar y registrar las principales bases de datos y luego clasificarlas.
  2. CONSENTIMIENTO EXPRESO E INEQUÍVOCO: ya no se permite el consentimiento tácito (mediante casillas premarcadas etc), ahora debe de ser específico, informado y demostrable.
  3. INFORMACIÓN MÁS AMPLIA: la información que hay que ofrecer a los interesados en el momento de solicitar los datos debe ser lo más completa posible, además de utilizar un lenguaje claro y sencillo. Se recomienda revisar y cambiar las cláusulas informativas que se vienen utilizando hasta ahora en cada empresa.
  4. DELEGADO DE PROTECCIÓN DE DATOS: también llamado Data Protección Officer (DPO). No es obligatorio para todas las empresas (autoridades y organismos públicos o aquellas que traten datos sensibles). Pude ser interno o externo. Será la figura encargada de hacer que se cumpla el reglamento.
  5. NUEVOS DERECHOS PARA LOS TITULARES DE DATOS: a los derechos ARCO (acceso, rectificación, cancelación y oposición), se suman los derechos a la limitación, a la portabilidad y a la supresión (derecho al olvido)
  6. CATEGORÍA DE DATOS ESPECIALES: se trata de aquellos más personales y relativos a las opciones políticas, creencias religiosas, afiliación sindical, salud, genéticos, biométricos y de orientación sexual.
  7. QUIEBRAS DE SEGURIDAD Y PROTOCOLOS: las empresas deberán poner en conocimiento de la Agencia de Protección de Datos cualquier violación o fallos de seguridad en un plazo máximo de 72 horas y en caso de que suponga un alto riesgo, también a los propios interesados. Es obligatorio para la empresa poner en marcha protocolos de actuación, así como procedimientos de notificación.
  8. EVALUACIONES DE IMPACTO: en el caso de que el tratamiento de datos pueda suponer un alto riesgo para los derechos y libertades de las personas (datos sensibles o aquellos cuyo uso produzca efectos jurídicos) las empresas están obligadas a realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD).
  9. OUTSOURCING: en el caso de que un tercero preste servicios a la empresa y tenga acceso a sus datos personales, deberán de elegir aquellas que ofrezcan garantías de cumplimiento del Reglamento. La empresa podría incurrir en responsabilidades si es negligente en la elección del proveedor.
  10. MEDIDAS DE PROTECCIÓN: las empresas deben implementar los procedimientos técnicos y organizativos necesarios para garantizar el cumplimiento del Reglamento, así como proteger los derechos de los interesados y garantizar que el tratamiento de los datos sea para fines privados.

 

 

 

[destacado]

Ponte en contacto con nosotros y te informaremos sobre el plan de financiación de Espacio Legal.

[/destacado]

[formulario]