En Mayo de este año será de aplicación obligatoria el nuevo marco normativo en materia de protección de datos para todos los Estados Miembros de la Unión Europea con cambios muy significativos para las empresas.
El Reglamento 2016/679 relativo a la protección de las personas físicas en lo que se refiere al tratamiento de datos personales y a la libre circulación de esos datos fue aprobado por el Parlamento Europeo con fecha 14 de abril de 2016 pero estableció en su artículo 99 un período transitorio de dos años para su adopción que finaliza en mayo de este año. Este nuevo Reglamento deroga la Directiva 95/46/CE aplicable en todos los Estados Miembros a partir del 25 de mayo de 2018.
El Nuevo Reglamento requiere la adopción de nuevos requisitos, medidas y procedimientos en materia de protección de datos, documentación e información a usuarios y empleados, así como la regulación y contenido formal de los contratos con los encargados de tratamiento.
Los aspectos más relevantes que las empresas Responsables de Ficheros y Encargadas del Tratamiento deben de considerar son los siguientes:
- Derechos Arco: se deben modificar los derechos ARCO (Acceso / Rectificación / Cancelación / Oposición) actuales, así como ampliarlos con los nuevos derechos de limitación, portabilidad y borrado de los datos (“Derecho al Olvido”). Todo ello con la modificación y acreditación de las medidas organizativas y documentales necesarias.
- Evaluación Riesgo Protección de Datos: se establece la obligación de evaluar el impacto del riesgo de protección de datos en determinados casos, como son los datos de nivel alto (salud, ideología, religión, condición sexual), y los que permitan la creación de perfiles, además de los que formalmente especifique la Autoridad de Control.
- Encargados del Tratamiento: incremento de las obligaciones y requisitos formales en las relaciones con los Encargados del Tratamiento; inclusión de un procedimiento de control y registro de las actividades con los Encargados del Tratamiento.
- Notificaciones a la Agencia de Protección de Datos: nuevos deberes y obligaciones de notificación y comunicación con la autoridad de control, incluida la necesidad de solicitud previa de consentimiento para el tratamiento de determinados colectivos o información de datos personales, y la obligación de notificar las brechas de seguridad en plazo máximo de 72 horas.
- Delegado de Protección de Datos (Data Protection Officer/DPO): Se establece la necesidad de designar un responsable formal en materia de protección de datos con un nuevo marco de responsabilidad y nivel en la organización, junto con la obligación de acreditar la debida formación en el mencionado Reglamento y los planes de formación continua en todos los aspectos normativos y operativos asociados a su función. Dispondrá de los elementos necesarios para evitar posibles conflictos de interés internos y de un canal de comunicación con todos los posibles usuarios / empleados con los debidos requisitos de confidencialidad, independencia y control.
- Transferencias Internacionales de datos personales: Se establecen nuevos requisitos de carácter operativo y jurídico que las entidades deben de formalizar en procesos o gestiones que impliquen transferencia de datos personales.
- Implicaciones y riesgos del entorno Internet y uso de las herramientas tecnológicas: Nuevos requisitos para el flujo de datos en internet, redes sociales y uso de las herramientas tecnológicas con implicaciones con otros marcos normativos que requieren un enfoque basado en el riesgo, la privacidad en el diseño o por defecto.
- Coordinación e implicaciones con marcos normativos relacionados: El nuevo Reglamento de Protección de Datos actualiza e incorpora deberes de diligencia, control y responsabilidad en consonancia y relacionado con otras normativas de Compliance que requiere de un análisis y definición de coordinación entre ellas.
De este modo, les animamos a revisar sus contratos como responsables o encargados de tratamiento, así como demás cláusulas, comunicaciones vía e-mail y procedimientos que se deban adaptar a esta nueva normativa.
