El 25 de mayo es la fecha tope para que las empresas, incluidos pymes y autónomos, implantéis el nuevo Reglamento General de Protección de Datos de la UE. Este reglamento afecta a todas aquellas empresas, grandes, pequeñas o medianas, que recopilen o utilicen datos personales de terceros de cualquier parte de la UE.
Cabe recordar que uno de los objetivos de esta nueva normativa es ofrecer más garantías a los ciudadanos sobre la utilización de sus datos personales por parte de las empresas y que se establece para el empresario el principio de responsabilidad proactiva.
Dicho esto es muy importante que tengáis claros algunos aspectos como que desaparece la obligación de notificar ficheros a la Agencia de Protección de Datos, que hay que elaborar un registro de actividad de tratamiento y que queda prohibido el consentimiento tácito, y las casillas premarcadas en la web.
NOVEDADES
Con la normativa aparece un nuevo concepto de “violaciones o brechas de seguridad” para las que hay que tener un protocolo específico, y nuevos derechos de limitación, portabilidad y olvido.
Otras de las novedades es que las empresas que traten datos personales de forma intensiva o datos sensibles a gran escala, así como para organismos públicos tienen que incorporar un Delegado de Protección de Datos y comunicarlo a la Autoridad de control así como se realizarán análisis de riesgos sobre los datos tratados. Importante también tener en cuenta que las sanciones se incrementan y que van desde los 10 a los 20 millones de euros.
Dicho esto es conveniente revisar los contratos con los encargados del tratamiento, los compromisos de confidencialidad de los trabajadores, los consentimientos que se obtuvieron en su día, regularizarlos y la documentación de seguridad.
MEDIDAS QUE HAY QUE IMPLANTAR
Con la nueva normativa hay que implantar una serie de medidas como realizar análisis de riesgos, hacer registros de actividad y ver si es necesario disponer de un Delegado de Protección de Datos.
La Agencia Española de Protección de Datos ha publicado un sistema de notificación electrónica para comunicar la designación de estos Delegados. El RGPD recoge que los responsables o encargados del tratamiento deben publicar los datos de contacto de los DPD y comunicar su designación a la autoridad de control. Esta comunicación a la Agencia por parte de los sujetos obligados debe producirse con anterioridad al 25 de mayo.
El nuevo procedimiento para la comunicación del Delegado de Protección de Datos es un formulario online al que se accede con certificado electrónico, en cumplimiento del artículo 14 de la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas.
Este sistema de notificación electrónica -que permite realizar la comunicación de los datos del Delegado de Protección de Datos (tanto si se trata de una persona física como de una entidad pública o privada actuando como Delegado) así como los datos de todas aquellas entidades para las que este haya sido designado- no se circunscribe únicamente a las Administraciones Públicas y las entidades privadas obligadas. Las empresas que no estén obligadas por las previsiones del Reglamento a designar un DPD y que quieran implantar esta figura en el sus organizaciones como apoyo al cumplimiento pueden utilizar este formulario con el fin de comunicarlo.
