El Reglamento Europeo en materia de protección de datos, de aplicación imperativa desde el 25 de mayo del presente 2018, conlleva para todas las personas, empresas o entidades que a razón de su actividad traten datos personales, la obligación de adoptar un seguido de medidas para garantizar que la gestión de estos datos se realiza de acuerdo con las obligaciones establecidas en la normativa. 

En España, el Reglamento Europeo convive con la LOPD y su reglamento de desarrollo, que ya conllevaban obligaciones en materia de protección de datos para las entidades que trataban datos de carácter personal. 

 

¿Qué obligaciones había hasta ahora?
Respecto a los CLIENTES, USUARIOS, PACIENTES, ALUMNOS, SOCIOS, ETC: 

  • En la recogida de datos: cumplir con los derechos de información sobre los datos facilitados: acceso, rectificación, cancelación, oposición y olvido, así como facilitar los canales adecuados para su ejercicio. 
  • En el tratamiento de los datos: facilitar a los clientes la información sobre la responsabilidad, la finalidad, la duración y el acceso o cesión de datos que se realizarán.  
  • En el almacenaje de los datos: adoptar las medidas organizativas que permitan garantizar la seguridad de los datos. 
  • En la cesión de los datos: garantizar que la cesión de datos a terceros se realiza bajo el amparo del consentimiento del cliente y con la correspondiente asunción de responsabilidad por parte del tercero sobre aquellos datos. 

 

Respecto a los TRABAJADORES, COLABORADORES AUTÓNOMOS, BECARIOS O ASIMILADOS: 

En el marco de la relación laboral o de colaboración/convenio: firmar contratos bidireccionales, que regulen el deber de confidencialidad del trabajador respecto a los datos personales de los clientes y que permitan obtener el consentimiento sobre el tratamiento de los datos que el propio trabajador cede a la empresa. 

 

Respecto a los PROVEEDORES: 

En el marco de la prestación de servicios a razón de la que haya una cesión de datos personales por la empresa al proveedor (Encargado del tratamiento): firmar contratos de confidencialidad en los que se concreten las características de la cesión y del tratamiento de los datos por el Encargado. 

 

Pero ¿qué ha cambiado respecto a la antigua normativa?

  • La notificación de ficheros a la Agencia de Protección de Datos, se ha sustituido por la necesidad de adoptar un Registro de Actividades del Tratamiento en el que se identifique y se detallen las características del tratamiento que se realiza. 
  • El Documento de Seguridad desaparece.
  • Es necesario revisar las cláusulas sobre protección de datos que constan en la documentación generada a razón de la actividad. 
  • Es necesario revisar los contratos firmados con trabajadores encargados de tratamiento (proveedores) y adaptarlos a la nueva normativa. 
  • El consentimiento tácito desaparece y se debe otorgar el consentimiento inequívoco o expreso sobre la cesión y el tratamiento de los datos.
  • El envío mailing de comunicaciones comerciales y/o informativas deben contar con el consentimiento expreso del destinatario. 
  • Los antiguos Derechos Arco se complementan con nuevos derechos: limitación, portabilidad y olvido. 
  • La figura del responsable de seguridad se sustituye por el Delegado de Protección de Datos (DPO), de obligada designa en ciertos supuestos estipulados. 
  • El informe de auditoría se sustituye por el análisis de riesgos y la evaluación de impacto. 
  • El Registro de Incidencias se sustituye por los protocolos de notificación de las violaciones de seguridad. Se prevén nuevas sanciones ante el incumplimiento de las obligaciones de entre 900 y 600.000 euros y se incrementan hasta del 2 al 4% de la facturación anual y hasta 10-20 millones de euros. 


Diana Martínez 
dmartinez@tax.es
Abogada de TAX Figueres

© Tax 2018 - Todos los derechos reservados

Tax
¿En que podemos ayudarte?