Esta nueva normativa es APLICABLE A LAS EMPRESAS/AUTÓNOMOS QUE TENGA EL TRATAMIENTO DE DATOS PERSONALES, ya sea de trabajadores, clientes, proveedores… Desde este pasado 25 de Mayo todos nosotros hemos recibido cantidad de información sobre el nuevo Reglamento de Protección de Datos, es importante saber que ha entrado en vigor y que hay que dar lugar a su cumplimiento, pero también conociendo que, la obligación de cumplimiento de la Ley de Protección de Datos en España lleva instaurada más de 20 años, es decir, las normativas sobre la protección de datos no son nada nuevo, por lo que para aquellos que en su día hicieran algo, únicamente deben adaptarlo al nuevo reglamento y para quienes en su momento no hicieron nada, no hay que alarmarse, únicamente deben ponerse al día con el nuevo reglamento. Es importante como decimos no alarmarse, ya que aunque el Reglamento de la Unión Europea ya está aprobado y en vigor, la normativa española se encuentra en el Congreso a la espera de su modificación/aprobación, hecho por el que debemos ser prudentes, es posible que la normativa española incluya nuevos requisitos no contemplados en el Reglamento. Y aunque las nuevas sanciones han sido agravadas, y la sanción mínima se trate de 600.000€, nuestro entender este Reglamento está creado fundamentalmente para empresas que tienen el tratamiento de datos de personas físicas como su actividad principal, dícese Facebook, Google, etc. PUNTOS ACERCA DEL REGLAMENTO QUE DEBES CONOCER
1. ¿Quién debe de aplicar medidas? El responsable del fichero, es quien debe de aplicar medidas técnicas y organizativas apropiadas al fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento.
2. ¿Quién es el responsable del fichero? Persona física o jurídica, de naturaleza pública o privada y órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento del fichero, es decir, toda empresa/autónomo que trata datos de personas físicas.
3. ¿Estoy obligado a inscribir fichero en la Agencia Estatal de Protección de Datos? La LOPD recoge como obligación, entre otras, la inscripción de los ficheros en la Agencia Estatal de Protección de Datos, sin embargo el Reglamento de la Unión Europea de Protección de Datos no obliga a la inscripción de ficheros, será el responsable del fichero quien deberá adoptar las medidas de índole técnicas y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, todo ello mediante un documento de seguridad.
4. ¿Qué debe hacer el responsable del fichero? Informar a toda persona física de la que tenga sus datos de lo siguiente: a. Los datos de contacto de la persona responsable de la Protección de Datos o Delegado de Protección de Datos. b. La base jurídica o legitimación para el tratamiento. c. El plazo o criterios de conservación de la información. d. La existencia de decisiones automatizadas o elaboración de perfiles. e. La previsión de transferencias internacionales a terceros países. f. El derecho a presentar una reclamación ante la Autoridad de Control.
5. ¿Cuáles son las modificaciones más importantes del Reglamento?
a. El consentimiento del interesado deberá de ser libre, específica, informada e inequívoca, ya sea mediante una declaración o una clara acción afirmativa, es una de las grandes novedades, ya que con el anterior reglamento el consentimiento bastaba con que fuera tácito o implícito, ahora éste debe de ser explicito, expreso.
b. Este reglamento también incorpora clausulas a los contratos de prestación de servicios, las cuales habrá que incluir, por lo que es importante adaptar los modelos de contratados que tengamos con proveedores, clientes, trabajadores…
c. Introduce la figura del DPO (Delegado en Protección de Datos), pero que única y exclusivamente será obligatorio para los siguientes colectivos:
i. Colegio profesionales y sus consejos generales
ii. Centros docentes que ofrezcan enseñanza regulada por la Ley Orgánica 2/2006 de 3 de Mayo, de Educación y las Universidades Públicas
iii. Entidades que exploten redes y presten servicios de comunicaciones electrónicas.
iv. Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
v. Las entidades de ordenación, supervisión y solvencia de entidades de crédito.
vi. Los establecimiento financieros de crédito
vii. Entidades aseguradoras y reaseguradoras
viii. Las empresas de servicios de inversión
ix. Distribuidoras y comercializadores de energía eléctrica.
x. Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestiones de prevención del fraude.
xi. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
xii. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
xiii. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
xiv. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
xv. Quienes desempeñen las actividades de Seguridad Privada. Todas las demás actividades no se ven obligadas a tener que contar con la figura del Delegado en Protección de Datos, pero sí a realizar todo lo derivado del cumplimiento del nuevo reglamento bien asumiéndolo de forma interna o a través de personal externo con formación específica.
