En los últimos días quizá hayas oído hablar sobre el Reglamento General de Protección de Datos, y si no lo has hecho, seguramente hayas recibido algún correo de varias empresas avisándote de un cambio en la política de privacidad de su web.
Esto se debe a la obligatoriedad de aplicar a partir del 25 de mayo del nuevo reglamento europeo en protección de datos que entró en vigor en mayo del pasado 2016 y para el que ha habido un plazo de 2 años de adaptación.
Las novedades del reglamento en cuanto a protección de datos frente a la LOPD, van enfocadas a poner a los usuarios en el centro en su relación con las empresas, permitiéndoles tener un mayor control sobre el tratamiento de sus datos personales y exigiendo su consentimiento explícito para cláusulas específicas.
Entre ellas, podemos destacar:
- Consentimiento explícito. Hasta ahora se entendía que el consentimiento tácito era suficiente prueba de aceptación, sin embargo, a partir de ahora se requiere que este sea recabado mediante una acción libre, informada, específica e inequívoca.
- Información. Respecto a la LOPD, se requiere informar sobre nuevos aspectos, tales como la base legal para el tratamiento de los datos, el período de conservación de los mismos y la posibilidad de dirigir sus reclamaciones a las autoridades de protección de datos, si lo consideran oportuno.
- Derechos. Como comentábamos, mediante la RGPD, el usuario adquiere nuevos derechos, como el famoso derecho al olvido, el derecho a la transparencia de la información, el derecho de limitación y el derecho de portabilidad.
- Fallos de seguridad. Otra novedad no contemplada anteriormente y a la que deberán adaptarse las empresas es la obligatoriedad de notificar los fallos de seguridad que se produzcan en su organización a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas.
- Delegado de protección de datos. Se incorpora también una nueva figura (de obligada designación solo en determinados supuestos), con competencias superiores a la del Responsable de Seguridad, que será la encargada de ejercer de punto de contacto con la autoridad de control e informar y asesorar sobre las obligaciones para cumplir con el Reglamento General, así como supervisar la aplicación de las normas.
- Evaluación de impacto. Otro punto a destacar por su importancia, es el requisito de realizar una evaluación de impacto, de aplicación en las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas, en la que se evalúe el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.
Todo esto supone un importante cambio en la manera que habitualmente estaban acostumbradas las empresas a tratar los datos de los clientes o usuarios y permite a estos tener más conocimiento y capacidad de decisión sobre la información personal que están transmitiendo