Los cambios más importantes en materia de protección de datos

Los cambios más importantes en materia de protección de datos

IMAGEN NUEVA LOPD

La Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDgdd) se encarga de concretar algunos puntos del Reglamento General de Protección de Datos en el marco de la normativa española. Esta ley complementa ciertos aspectos del reglamento y aclara otros, por tanto, es necesario manejar las dos normativas (LOPDgdd y RGPD) a la vez. Pero, ¿cuáles han sido los cambios más importantes que se han producido en materia de protección de datos? ¿qué debes tener en cuenta?

La celebración del Día Europeo de la Protección de Datos puede ser un buen momento para recordarlos:

  • La nueva LOPDgdd hace referencia a la figura del Delegado de Protección de Datos (DPD, o DPO por sus siglas en inglés) y a la cualificación que esta persona, física o jurídica, debe tener. La Ley también recoge varias infracciones graves para las empresas que estén obligadas a contar con esta figura y no lo hagan. Cabe recordar que el DPD es un profesional, o un equipo de profesionales, muy cualificado (puede ser interno o contratado de forma externa), que se encarga de asesorar, supervisar que las cosas se hagan de forma correcta, informar o resolver dudas (todo ello, manteniendo un contacto muy fluido con la alta dirección de la empresa). Pero, es necesario matizar que es la empresa la que debe cumplir la normativa, no el DPD.

  • En su artículo 34, la ley establece las empresas que están obligadas a contar con la figura del Delegado de Protección de Datos. Aunque, hay que tener en cuenta que no es una lista cerrada.

  • Se añaden los nuevos derechos de limitación del tratamiento, portabilidad y oposición, que aparecieron con el RGPD.

  • Se incluye el principio de trasparencia. Así, los usuarios deberán ser informados (de forma clara y precisa, con un lenguaje entendible) del tratamiento que se va a hacer de sus datos. También se establece este principio en relación a brechas de seguridad, incidencias que afecten a la privacidad de la información, o denuncias recibidas a través del canal de denuncias.

  • Se ha destinado un título (el quinto) a las figuras del responsable y del encargado del tratamiento, en el que, entre otras cosas, se explican sus funciones y sus responsabilidades.

  • Se establecen los códigos de conducta a los que se hacía referencia en el RGPD, y que deberán de ser aprobados por la AEPD.

  • Se establecen las sanciones a aplicar por las autoridades de control (en España, la Agencia Española de Protección de Datos). En este caso, la normativa diferencia entre sanciones leves y graves, establece la aplicación de medidas correctivas y, también, los plazos de prescripción.

  • Queda prohibido el envío de comunicaciones sin el consentimiento del interesado, salvo las excepciones que ya planteaba la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (que exista una relación contractual previa o que los productos o servicios que se publiciten sean similares a los contratados).

  • Las asociaciones u organismos sin ánimo de lucro (con una finalidad política, religiosa, filosófica o sindical) podrán llevar a cabo el tratamiento de datos personales sin consentimiento expreso de los interesados, siempre que se refiera a miembros actuales o antiguos (o a beneficiarios de sus ayudas).

  • Uno de los puntos más novedosos de la nueva LOPDgdd es el reconocimiento expreso de los derechos digitales, que trata de establecer un equilibrio adecuado entre la vida profesional y la personal de los trabajadores. En el ámbito empresarial, tiene especial interés el derecho a la desconexión digital. Establece que, fuera de su horario laboral, los trabajadores no están obligados a utilizar dispositivos electrónicos con motivos profesionales.

  • En transferencias internacionales, la LOPDgdd remite directamente al Reglamento, que en capítulo V (de los artículos 44 al 50) recoge las transferencias de datos personales a terceros países u organizaciones internacionales.

  • En el caso de las categorías especiales de datos, la LOPDgdd también remite al Reglamento. En este caso, al capítulo II, artículo 9.

  • En el canal de denuncia se deberán admitir a trámite las denuncias anónimas (con la anterior normativa era necesario identificar al denunciante).

  • Un menor de edad solo podrá dar su consentimiento para el tratamiento de sus datos personales cuando sea mayor de trece años. Aunque por motivos legales puede haber excepciones, el tratamiento de los datos de menores de trece años solo será lícito si cuenta con el consentimiento del titular de la patria potestad o la tutela del menor (con el alcance que esta persona determine).

Además de las novedades, conviene recordar algunos puntos que se mantienen como en la anterior normativa:

  • Igual que hacía la anterior LOPD, la nueva establece que el tratamiento de los datos de contacto de empresarios individuales y profesionales liberales, así como de quien actúe en nombre o representación de una persona jurídica, no requerirá de consentimiento expreso (queda amparado en el interés legítimo del artículo 6.1f del RGPD, así como en el artículo 19 de la LOPDgdd)

  • Por otro lado, y aunque la LOPD de 1999 ha quedado debidamente derogada, se mantiene en vigor lo establecido en el Real decreto de desarrollo de la misma (aquello que no contradiga el RGPD). Es necesario tener en cuenta este aspecto, de cara a las medidas de seguridad a aplicar en materia de protección de datos y privacidad de la información. En este sentido, el RGPD establece que, en cuanto a la protección de datos, y en especial a las medidas de seguridad, se debe fomentar en todo momento la mejora continua, lo que conlleva en la práctica aplicar metodologías y estándares reconocidos en la industria (por ejemplo, la norma ISO 27001).

¿Necesitas asesoramiento para afrontar los cambios? ¿Sabes cómo llevar a cabo la implantación del RGPD en tu empresa? ¡Contacta con nosotros!

Facebooktwittergoogle_pluspinterestlinkedinby feather

Comments

Comentarios desactivados