El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) entrará en aplicación el próximo 25 de mayo de 2018. Estos son algunos de sus puntos clave.

Nueva gestión de los tratamientos: no será necesario notificar los tratamientos a la Agencia Española de Protección de Datos y, en su lugar, se deberá llevar internamente un registro de actividades de tratamiento. Aunque la entidad se pueda acoger a la excepción de menos de 250 trabajadores, por lo menos tendrá que tenerlos identificados.

Categorías especiales de datos: además de los ya existentes se incluyen los datos genéticos y biométricos.

Base jurídica de los tratamientos: el consentimiento no será ya la causa principal de legalización de los tratamientos, sino que también podrán realizarse por habilitación legal, ejecución de un contrato, en interés vital de interesado o por interés legítimo del responsable. De basarse en el consentimiento, pasa a ser expreso requiriendo una clara acción afirmativa o declaración expresa.

Privacidad por diseño: supone tener presente a la privacidad durante todo el ciclo de vida del dato, desde antes de su obtención, pasando por las diferentes fases de tratamiento, hasta su destrucción.

Privacidad por defecto: supone obtener y tratar sólo aquellos datos necesarios para cumplir con la finalidad del tratamiento.

Responsabilidad proactiva o accountability: el responsable de tratamiento debe cumplir con las obligaciones del RGPD y ser capaz de demostrarlo por lo que la documentación y trazabilidad son requisitos imprescindibles.

Enfoque basado en el riesgo: los responsables y encargados de tratamiento deberán adoptar medidas técnicas y organizativas apropiadas para reducir o eliminar los riesgos detectados para los interesados en relación con el tratamiento de sus datos personales. Como el riesgo cero no existe, se debe lograr un riesgo residual aceptable.

Delegado de protección de datos: se deberá nombrar un DPD con carácter obligatorio en las administraciones públicas, cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, y cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales o datos de condenas y sanciones penales. El Proyecto de Ley Orgánica de Protección de Datos de aprobarse en los términos actuales, permitirá que cuando exista DPD, la Agencia Española de Protección de Datos les pase durante un mes las reclamaciones que presenten los interesados para que intente dar solución a la misma. De no conseguirlo continuará el procedimiento sancionador o de tutela de derechos correspondiente.

Evaluaciones de impacto en protección de datos: los tratamientos que impliquen un riesgo para los datos personales de los interesados requerirán una evaluación de impacto en protección de datos previa. En concreto lo requerirán el tratamiento a gran escala de categorías especiales de datos y datos de condenas y sanciones penales, la evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar y la observación sistemática a gran escala de una zona de acceso público.

Notificación de violaciones de seguridad de los datos personales: se deberán notificar aquellas violaciones que afecten a la confidencialidad, integridad o disponibilidad de los datos personales a la Agencia Española de Protección de Datos cuando exista un riesgo para los interesados. Si además existe un alto riesgo para los interesados, se les deberá notificar a estos salvo que se hubieran tomado medidas previas que imposibilitaran el acceso de la información a terceros como el cifrado o se tomen medidas posteriores que eliminen la alta probabilidad de que se materialice ese riesgo.

Equipo de profesionales de Govertis