Desde el 25 de mayo del 2018 la regulación del derecho a la protección de datos es uniforme en la
Unión Europea. El RGPD (Reglamento General de Protección de Datos) es una respuesta a la rápida evolución
tecnológica y la globalización que han planteado nuevos retos para la protección de los datos personales. La magnitud de la
recogida y del intercambio de datos personales ha aumentado de manera significativa.
La tecnología permite que tanto las
empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar
sus actividades. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial.
La tecnología
ha transformado tanto la economía como la vida social, y ha de facilitar aún más la libre circulación de datos personales dentro
de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel
de protección de los datos personales.
Oscar Herrero - Experto en Delegado de Protección de Datos
Para los responsables se proyectan sobre todas las obligaciones de las organizaciones el principio de responsabilidad proactiva y el enfoque de riesgo.
La base principal para el tratamiento de datos es el consentimiento inequívoco (prestado mediante una manifestación del interesado o mediante una clara acción afirmativa, no admite formas de consentimiento tácito o por omisión, ya que se basan en la inacción).
Se establece una lista exhaustiva de la información que debe proporcionarse a los interesados (Base jurídica del tratamiento, Intención de realizar transferencias internacionales, datos del DPD o Delegado de Protección de Datos si lo hubiere, Elaboración de perfiles …).
El responsable ha de poder probar que ha informado y que ha obtenido el consentimiento.
Obligaciones expresamente dirigidas a los encargados.
Los contratos de encargo concluidos con anterioridad a la aplicación del RGPD en mayo de 2018 deben modificarse y adaptarse.
Todos los responsables deben hacer una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer que medidas deben aplicar y cómo deben hacerlo.
Responsables y encargados deben mantener un registro de actividades de tratamiento en el que se contenga la información que establece el RGPD.
Desaparece la obligación de inscribir los ficheros en la AEPD (Agencia Española de Protección de Datos).
Protección de Datos desde el diseño y por defecto.
Responsables y encargados han de establecer la medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.
Los responsables de tratamiento deben realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.
Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
El RGPD establece la figura del Delegado de Protección de Datos, que será obligatorio en autoridades y organismos públicos, responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala, responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles y de datos relativos a condenas e infracciones penales.