El Reglamento General de Protección de Datos Personales (UE 2016/679), trae numerosas novedades. Uno de sus puntos más importantes es el principio de “responsabilidad proactiva” Insatek puede ayudarle en su cumplimiento en lo que respecta al documento exigible y a las medidas de seguridad que el responsable de los datos debe adoptar.

¿A quién afecta?

Afecta a cualquier persona física o jurídica que maneje datos personales dentro de la Unión Europea.

Principios

El nuevo reglamento contiene muchos conceptos, principios y mecanismos similares a la LOPD. Si ya cumplías con la Ley general de protección de Datos tienes una buena base, pero no es suficiente.

Dos elementos de carácter general constituyen la mayor innovación del RGPD para los responsables:

  • El principio de “responsabilidad proactiva”
  • El enfoque de riesgo.

El principio de "responsabilidad proactiva"

El  responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. Deben poder demostrarlo ante los interesados y ante las autoridades de supervisión.

El enfoque de riego

las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas.

La aplicación de las medidas previstas por el RGPD deben adaptarse a las características de las organizaciones

Nuevas categorías especiales de datos.

Aparte de los datos especialmente protegidos que preveía la LOPD, que pasan a denominarse "categorías especiales de datos", el Reglamento incluye dos nuevas categorías especiales de datos, los datos genéticos y los datos biométricos. :

Consentimiento.

El RGPD requiere que el interesado preste el consentimiento mediante una declaración inequívoca o una acción afirmativa clara. A efectos del nuevo Reglamento las casillas ya marcadas, el consentimiento tácito o la inacción no constituirán un consentimiento válido.

 Aunque las diferencias entre el consentimiento inequívoco, tal y como lo define el RGPD, y el consentimiento explícito pueden parecer difíciles de apreciar, hay situaciones en que el consentimiento puede ser inequívoco y otorgarse de forma implícita, como por ejemplo cuando se deduce de una acción del interesado que decide seguir navegando por una página web y acepta así el que se utilicen cookies para monitorizar su navegación.

Medidas de seguridad

El nuevo RGPD  establece que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas adecuadas al riesgo que conlleva el tratamiento. Ello implicará tener que hacer una evaluación de los riesgos asociados a cada tratamiento, para determinar las medidas de seguridad a implementar.

Notificación de violaciones de seguridad

 Si se produce una violación de la seguridad, el responsable debe notificarlo a la autoridad de control en un plazo máximo de 72 horas, a menos que sea improbable que constituya un riesgo para los derechos y libertades de las personas.

Además, cuando sea probable que la violación pueda comportar un alto riesgo para los derechos de los interesados, el responsable lo deberá comunicar a las personas afectadas sin dilaciones indebidas y en lenguaje claro y sencillo, excepto que:

  • El responsable hubiera adoptado medidas de protección adecuadas, como que los datos no sean inteligibles para personas no autorizadas.
  • Haya aplicado medidas ulteriores que garanticen que ya no existe la probabilidad de que se concrete el alto riesgo.
  • Suponga un esfuerzo desproporcionado.