• Certificado de Calidad

    ISO 9001:2015 / ES-0395/2014
  • Grupo Líder

    En España

Nuevo Reglamento de protección de datos.

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD) que sustituye a la normativa vigente hasta ese momento y pone como fecha límite el 25 de mayo de 2018 para que todas las empresas estén adaptadas al mismo. Este periodo de dos años, tuvo como objetivo permitir que los estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos, lleven a cabo las acciones requeridas para implementar el R.G.P.D.

El principal fin de la nueva normativa europea es aportar un marco único comunitario para la protección de datos. Con esta nueva norma, se debe adquirir un mayor compromiso con la privacidad y la gestión de los datos.

Nuevas obligaciones del RGPD

Consentimiento.

Procurar el consentimiento inequívoco, y no tácito, del cliente para el uso de sus datos. Es decir, el cliente deberá realizar un acción afirmativa que nos permita tratar los datos como, por ejemplo, señalar mediante un tick en una casilla o a través de la firma, la aceptación del tratamiento de los datos.

Notificación de brechas de seguridad.

Estaremos obligados a notificar una brecha o violación de seguridad si la misma afecta a datos personales y cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas.

Nuevas cláusulas e información.

Hay que dar mayor información al cliente. Le debe quedar claro quién trata sus datos, cómo los trata y por qué los trata. También deberemos incluir nuevas cláusulas de elección del proveedor que nos realiza un servicio.

Delegado de protección de datos (DPO)

Para ciertos tratamientos, que entrañen graves riesgos para los derechos y libertades de las personas, como los psicólogos, los detectives privados, los colegios, etc, podrá ser necesaria la existencia de un Delegado de Protección de Datos.

Evaluación de impacto en la protección de datos personales (EIPD)

Deberemos hacer un análisis previo de los riesgos que conlleva para las personas que dejan sus datos en él. En ciertos casos, debido al riesgo, este análisis previo deber tomar la forma de una Evaluación de Impacto en la Protección de Datos Personales (PIA).

Cumpla ya las obligaciones del RGPD y evite las graves sanciones que ya se están imponiendo. Déjenos sus datos en el formulario de contacto y asegúrese de cumplir con la normativa vigente.

Reglamento europeo de protección de datos. Grupo Ekonomika. Protemin

¿Cómo se implanta el RGPD en una empresa?

1.- Elaboración de ficheros.

Se deben identificar los tratamientos que contengan datos de carácter personal, cada tratamiento se consideraría un fichero.

  • Empleados
  • Clientes o pacientes
  • Proveedores
  • Videovigilancia
  • Usuarios web

Además se debe especificar la finalidad para que se usan esos datos.

2.- Reconocimiento del nivel de seguridad aplicable.

Una vez identificados los tipos de datos que tratamos deberemos analizar si ello implica un riesgo para esas personas, ya que no es lo mismo tratar solo un correo electrónico que una historia clínica. Por tanto, tenemos que establecer las medidas de seguridad que aplicaremos a los datos personales.

3.- Evaluación de impacto.

Como ya mencionamos con anterioridad, en ciertos casos, este análisis previo deberá tomar forma de EIPD, debido al tipo de datos tratados o el riesgo que puede suponer su tratamiento para los afectados.

Es obligatorio en los siguientes casos:

  • Alto riesgo de derechos y libertades
  • Evaluación Sistemática
  • Tratamiento a gran escala
  • Uso de tecnologías invasivas

4.- Elaboración del documento de seguridad.

El documento de seguridad es un documento en el cual se resume todo aquello relativo al tratamiento de datos personales dentro de la actividad profesional como, por ejemplo:

  • Ficheros inscritos
  • Contratos de encargo de tratamiento
  • Empleados que acceden a los datos
  • Sistemas de seguridad instalados
  • Inventario de sistemas que tratan los datos, como ordenadores
  • Registro de incidencias

5.- Formación.

El responsable del fichero, deberá tener una mínima formación en la materia que le permita tratar los datos conforme a la normativa.

6.- Información a los propietarios de los datos.

Es necesario informar a los afectados por el tratamiento de, al menos:

  • El nombre del responsable.
  • La legitimación para la recogida de los datos, es decir, el por qué podemos tratar sus datos.
  • Para qué se usan los datos recogidos.
  • Cómo ejercitar los derechos.

7.- Plazo de conservación de los datos.

Una de las novedades que nos presenta el RGPD, es la necesidad de informar del plazo de conservación de los datos. Por desgracia, no existe un plazo mínimo de conservación único sino que dependiendo de la documentación que se trate será un periodo determinado u otro.

8.- Registro de las actividades de tratamiento (nivel medio/alto)

Posteriormente, solo ciertas actividades que traten datos específicos deberán llevar a cabo un registro interno de estos ficheros. Este registro interno será conocido como Registro de las actividades de tratamiento.

No es obligatorio con menos de 250 empleados, salvo si son datos:

  • Especiales (salud, origen étnico, religioso…).
  • Condenas e infracciones penales
  • Riesgo para los derechos y libertades

Sanciones por incumplimientos en las obligaciones de la protección de datos, según el RGPD

Las sanciones se fundamentan según la responsabilidad y capacidad de intervención, además del delito cometido y el grado de afectación.

El RGPD indica que los estados miembros adoptarán todas las medidas necesarias para garantizar la correcta aplicación y cumplimiento del marco normativo aplicando sanciones efectivas, proporcionadas y disuasorias. Las multas administrativas se impondrán, en función de las circunstancias de cada caso en particular. En España, se mantiene la distinción entre infracciones muy graves, graves y leves con la imposición de diferentes cuantías en función de:

  • El carácter continuado de la infracción.
  • La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
  • Los beneficios obtenidos como consecuencia de la comisión de la infracción.
  • La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
  • La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.

sanciones por infracción del rgpd en españa

  • El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que adquiera firmeza la resolución por la que se impone la sanción.