Hoy en día todas las empresas son responsables de datos personales, ya sea de sus trabajadores, clientes, usuarios, etc., por lo que resulta imprescindible conocer las novedades normativas del Reglamento General de Protección de Datos (RGPD).

Aunque el RGPD será aplicable a partir de mayo de 2018, en el periodo de transición es imprescindible preparar y adoptar las medidas necesarias para asegurar el cumplimiento de las previsiones de la nueva normativa en el momento en que sea de aplicación.

En este sentido, desde LETSLAW queremos destacar las actuaciones que, conforme indica la propia Agencia Española de Protección de Datos a través de sus recomendaciones o interpretaciones, conviene poner en práctica de inmediato.

A continuación, señalamos las principales actuaciones que debieran iniciarse ya durante el periodo de transición entre la entrada en vigor y el inicio de la aplicación del RGPD:

A) OBTENCIÓN DEL CONSENTIMIENTO

Una de las novedades más destacadas, consiste en la exigencia de que el consentimiento sea “inequívoco”, esto es, aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. No se admitirán formas de consentimiento tácito o por omisión, ya que se basan en la inacción.

Adicionalmente en el caso de datos sensibles, adopción de decisiones automatizadas y realización de transferencias internacionales el consentimiento, además de inequívoco, deberá ser explícito, sin que quepa deducir de una acción del usuario que éste consiente.

Tras la aplicación del RGPD ya no serán válidos los consentimientos obtenidos de forma tácita, por lo que es recomendable no seguir obteniendo consentimientos por omisión y revisar esos tratamientos para que se adecuen a las previsiones del RGPD.

B) ENCARGADOS DE TRATAMIENTO

El responsable de los datos deberá tener especial cautela al seleccionar a un encargado de tratamiento, debiendo adoptar medidas apropiadas y elegir únicamente a aquellos que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas según los requisitos del RGPD.

Como novedad en este sentido, se fija un contenido mínimo de los contratos de encargo más amplio que el actual, por lo que conviene ir adaptando y modificando los contratos de encargo concluidos con anterioridad a la aplicación del RGPD.

C) MEDIDAS DE RESPONSABILIDAD ACTIVA

El principio de responsabilidad proactiva y el enfoque del riesgo son las claves de la gran mayoría de las novedades introducidas por el RGPD.

  • Análisis del riesgo

En este sentido, se exige una actitud diligente y proactiva por parte de las empresas, que deberán analizar todos los tratamientos de datos personales que llevan a cabo para determinar la forma en que aplicarán las medidas que el RGPD prevé. Todas las empresas deberán valorar el riesgo de los tratamientos que realicen, teniendo en cuenta, entre otras cuestiones, el tipo de tratamiento que realicen, la naturaleza de los datos, o el número de interesados afectados, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo.

  • Medidas de seguridad

En el RGPD, los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

Las medidas de seguridad previstas en el Reglamento de la LOPD no serán válidas de forma automática. Solo a partir de los resultados del análisis de riesgos previo, se conocerá si las medidas actuales son las adecuadas o si deben tomarse medidas adicionales o prescindir de alguna.

  • Evaluación de impacto

Cuando el análisis de riesgo sobre los tratamientos iniciados con anterioridad a la fecha de aplicación del RGPD revelen un alto riesgo para los derechos o libertades de los interesados, los responsables deberán realizar una evaluación de impacto sobre esos tratamientos, y adoptar las medidas necesarias para adaptar el tratamiento a las exigencias del RGPD.

Si una evaluación de impacto identifica un alto riesgo que no pueda mitigarse por medios razonables (tecnología aplicable y costes) será preciso consultar a la autoridad que podrá emitir recomendaciones al respecto e incluso prohibir la operación de tratamiento.

D) DELEGADO DE PROTECCIÓN DE DATOS

El DPO es una de las nuevas figuras que incorpora el RGPD. Las empresas que traten gran cantidad de datos personales, al realizar un tratamiento que requieran una observación habitual y sistemática de interesados a gran escala o un tratamiento a gran escala de datos sensible, deberán contar con un DPO necesariamente.

Es necesario designar a un profesional con la cualificación necesaria, por lo que las empresas deberán tener en cuenta sus cualificaciones profesionales y su conocimiento en materia de protección de datos. La certificación no es un requisito indispensable pero facilita la elección de DPO.  En este sentido, en LETSLAW contamos con profesionales que han obtenido la certificación correspondiente.

Además, la designación del DPO y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

 Destacar que se permite nombrar un solo DPO para un grupo empresarial y que este sea contratado mediante una relación laboral o mediante un contrato de servicios, por lo que es perfectamente posible contratar como DPO a personas físicas o jurídicas ajenas a la organización.

Desde LETSLAW aconsejamos a las empresas poner en marcha el proceso de selección de un DPO con anterioridad a la fecha de aplicación del RGPD, y contar cuanto antes con un profesional experto en la materia de protección de datos que también facilitará la adaptación de la empresa al resto de modificaciones normativas que resulten de aplicación.

Letslaw es un despacho especializado en derecho digital, protección de datos y nuevas tecnologías.