¿A partir de qué fecha es obligatorio el Reglamento General de Protección de Datos?

El Reglamento General de Protección de Datos entró en vigor el 25 de mayo de 2016, aunque será aplicable 2 años después. Esto quiere decir que antes del 25 de mayo de 2018 las empresas y organizaciones deben planificar la transición a la nueva normativa, para estar en disposición de cumplirla desde el primer momento.

 

¿Ya no se aplica la LOPD?

Sí, la Ley Orgánica 15/1999 de Protección de Datos y el Real Decreto 1720/2007 que la desarrolla siguen siendo de obligado cumplimiento hasta el 25/05/2018. En dicha fecha, será sustituida por una nueva LOPD que se encuentra en fase de tramitación, y que se limitará a complementar el Reglamento en los aspectos que éste prevé.

 

¿Qué tengo que hacer para adaptarme al Reglamento?

La adaptación al Reglamento debe abordarse como un proceso, cuya etapa inicial consistirá en la identificación de los tratamientos de datos de la organización, para determinar el tipo de datos tratados, su finalidad, la existencia de cesiones y/o transferencias internacionales, los sistemas de información que los tratan, etc.  A partir de dicha identificación y de la evaluación de los riesgos que dichos tratamientos conllevan, se estará en condiciones de determinar las medidas necesarias para adecuarse al Reglamento, que variarán de una organización a otra en función deaspectos como el tipo de tratamientos, la naturaleza de los datos, el sector de actividad, el número de afectados, etc.

 

¿Qué medidas de seguridad establece el Reglamento?

A diferencia del Real Decreto 1720/2007, que desarrolla la LOPD de 1999, el Reglamento no concreta las medidas de seguridad aplicables, ni clasifica los niveles de seguridad entre básico/medio/alto. En adelante, cada organización deberá determinar qué medidas técnicas y organizativas son apropiadas para garantizar un nivel de seguridad adecuado al riesgo, para lo cual deberá evaluar y documentar dichos riesgos.

 

¿A qué obliga el principio de responsabilidad activa?

Este principio es una de las principales novedades del Reglamento e implica que las organizaciones deben aplicar los principios de protección de datos de forma preventiva. De esta forma, deberán implementar medidas (como la protección de datos desde el diseño y por defecto, o la realización de evaluaciones de impacto), que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías previstos en el Reglamento. Además, este principio conlleva que las empresas y organizaciones deben ser capaces de demostrar que cumplen el Reglamento, para lo que será necesario documentar las medidas adoptadas a tal fin.

 

¿A quién afecta el Reglamento?

A toda empresa u organización establecidas en la UE que trate datos personales, ya sea como responsable o en calidad de encargado del tratamiento. A su vez, el Reglamento es aplicable a responsables y encargados situados fuera de la UE, siempre que realicen tratamientos de datos derivados de una oferta de bienes o servicios destinados a ciudadanos de la UE o como consecuencia de la monitorización y seguimiento de su comportamiento.

 

Si ya tengo inscritos mis Ficheros ¿me afecta en algo el Reglamento?

Desde luego. De hecho, el concepto de Fichero desaparece con el Reglamento y ya no será obligatorio inscribirlos en la Agencia. En cambio, los responsables y encargados deberán documentar todos los tratamientos de datos que realicen en el llamado Registro de las actividades de tratamiento, para lo cual puede ser útil partir de los Ficheros inscritos y actualizar lo que proceda.

 

¿Tengo que cambiar las leyendas informativas y los contratos de encargo?

Sí, a partir del 25/05/2018 deberán utilizarse leyendas informativas adaptadas al Reglamento, que amplía considerablemente la información a facilitar al interesado.

De la misma forma, el Reglamento modifica el contenido mínimo de los contratos con encargados del tratamiento, por lo que los contratos firmados antes del 25/05/2018 en base al art. 12 de la LOPD, deberán sustituirse por nuevos contratos ajustados al Reglamento.

 

¿Qué es un Delegado de Protección de Datos?

Es una nueva figura creada por el Reglamento, cuyas funciones básicas consisten en el asesoramiento en materia de protección de datos, la supervisión del cumplimiento del Reglamento en la organización y la cooperación con la Autoridad de control. El Delegado puede ser interno o externo a la organización que lo nombre, si bien debe desarrollar sus funciones con total independencia. Su nombramiento será obligatorio para autoridades u organismos públicos, así como para determinadas organizaciones privadas en función del tipo de tratamientos que lleven a cabo.

 

¿Cambian las sanciones con el Reglamento?

Sí, cambian y de forma sensible, ya que su cuantía puede dispararse a multas de hasta 20.000.000 de euros o el 4% del volumen de negocio anual del infractor, la que sea mayor.