¿Qué cambios se han incorporado?
La nueva Ley introduce ciertas especificaciones que se añaden a lo ya establecido para el cumplimiento del Reglamento General de Protección de Datos europeo (RGPD)
= Principio de responsabilidad proactiva
Se exige una actitud consciente, diligente y proactiva por parte de las empresas. Se deben determinar las medidas técnicas y organizativas apropiadas para poder demostrar el cumplimiento con el RGPD.
= De los ficheros al Registro de Actividades de Tratamiento
Desparece la obligación de notificar ficheros a la Agencia Española de Protección de Datos y aparece la obligación de contar con un Registro de Actividades de Tratamiento en el que es imprescindible documentar e identificar claramente los tratamientos y la base legal sobre la que se desarrollan los mismos.
= Consentimiento
El RGPD establece que el consentimiento de los usuarios al tratamiento de sus datos personales debe ser libre, informado, específico e inequívoco.
Se entenderá que el consentimiento es inequívoco cuando el usuario realice una acción afirmativa para consentir el tratamiento de sus datos personales.
= Transparencia y deber de información
Esta normativa amplía la obligación respecto al deber de informar a los interesados y exige que las empresas proporcionen información concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
La información al interesado deberá facilitarse mediante un sistema de dos capas, en todos los casos, no solo en el ámbito de las comunicaciones electrónicas.
= Nuevos derechos de los interesados
Los responsables deben facilitar a los interesados el ejercicio de sus derechos, y los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos.
Además de los derechos de acceso, rectificación, supresión y oposición, el RGPD introduce nuevos derechos: derecho al olvido, derecho a la limitación del tratamiento y derecho a la portabilidad.
= Contratos con terceros prestadores de servicios (encargados de tratamiento)
Será obligatorio formalizar un contrato, con el contenido mínimo exigido, con todas aquellas terceras empresas que para la prestación de sus servicios tengan que acceder a los datos personales de los que la entidad es responsable.
= Delegado de Protección de Datos (DPO)
Con la LOPDGDD se amplía el catálogo de empresas que tendrán la obligación de designar un DPO, respecto a lo establecido en el RGPD, incluyendo, a las federaciones deportivas cuando traten datos de menores, colegios profesionales, los centros docentes, distribuidores y comercializadores de energía eléctrica, entre otras.
= Notificación de violaciones de seguridad
Las empresas están obligadas a notificar a la Agencia Española de Protección de Datos, en el plazo máximo de 72 horas, las violaciones de seguridad que puedan suponer un riesgo para los derechos y libertades de los interesados. En el caso de que ese riesgo sea alto, la comunicación deberá hacerse también a los interesados.
= Derechos Digitales
Lo más novedoso de la LOPDGDD es el Titulo X, en el que se introducen 18 artículos relativos a los nuevos derechos digitales, los cuales no están regulados ni en el RGPD ni en la anterior Ley 15/1999.
Proyecto Tipo
Para ayudar a las organizaciones con la adecuación de sus actividades a esta normativa, te ofrecemos un servicio de acuerdo a esta estructura:
# Revisión documentación vigente y grado de conocimiento
# Formación inicial a las personas implicadas
# Cambiar ficheros por Registro de Actividades de Tratamiento
# Nombrar y asignar responsables. Estudio de la necesidad de la Figura del Delegado de Protección de Datos (DPO). Funciones de DPO en los casos necesarios.
# Nuevas cláusulas informativas por cada tratamiento
# Modelos de contrato para encargados de tratamiento
# Describir el procedimiento de obtención de consentimiento
# Definir el procedimiento de atención de derechos
# Establecer el procedimiento ante violaciones de seguridad
# Manual de Privacidad
# Análisis de Riesgos por Tratamiento
# Aclaraciones finales y puesta en marcha