Sea cual sea la actividad, toda empresa debe revisar su actual sistema. El 25 de mayo, fecha de entrada en vigor de la nueva normativa, ha llegado. El Reglamento de Protección de Datos de carácter personal introduce cambios importantes. Detallamos en este post aquellas novedades más significativas.
El consentimiento
Una de las principales novedades que presenta el nuevo Reglamento es en materia de consentimiento, ya que para poder recoger y tratar datos personales será necesario contar con el consentimiento expreso de los interesados, que se deducirá de una acción o acto afirmativo claro del mismo.
Ya no será válido el consentimiento tácito o el silencio de los afectados para tratar sus datos (que sí era válido con la normativa anterior). Además, es importante tener 3en cuenta que este consentimiento se debe de recoger escrito, o bien por un medio que permita su posterior reproducción, pues resultará obligatorio poder acreditar en una auditoría que el titular de los datos nos había autorizado previamente al tratamiento de los mismos.
Consentimiento sí, pero específico para cada finalidad.
El consentimiento de los interesados debe ser específico para cada una de las finalidades de tratamiento, es decir, que si un cliente ha contratado los servicios de nuestra empresa para que le prestemos un determinado servicio, si queremos también enviarle información comercial o publicidad, obligatoriamente deberemos también obtener el consentimiento del interesado para tratar su datos con fines comerciales, y en caso de no tenerlo, no será lícito el envío de esa publicidad.
Derecho al olvido.. y otros.
Otra gran novedad que presenta el Reglamento es en materia de derechos de los ciudadanos en relación con sus datos personales. Anteriormente, existían los derechos de acceso, rectificación, cancelación y oposición.
Con el nuevo Reglamento surgen nuevos derechos en materia de protección de datos, que son el derecho al olvido, el derecho a la portabilidad de los datos y el derecho a la limitación del tratamiento.
El análisis de riesgos
Además, el nuevo Reglamento obliga a realizar un análisis de riesgos de los datos personales tratados, con la finalidad de establecer medidas de seguridad y control para garantizar los derechos y libertades de las personas, que deberá quedar debidamente documentado.
Medidas de seguridad.
Asimismo, el nuevo Reglamento obliga a todas las empresas a adoptar medidas de seguridad y control adecuadas que garanticen la integridad y confidencialidad de los datos que tratamos, siendo obligatorio realizar un seguimiento de las mismas.
Se crea la figura del Delegado de Protección de Datos (Data Protection Officer), cuya presencia será obligatoria si concurren determinadas circunstancias que prevé el Reglamento.
Obligación de comunicar a la Agencia de Protección de Datos y a los afectados los ataques informáticos.
Como última novedad importante que debemos tener presente es que si se produce una intromisión ilegítima en los datos personales que tratamos, esta brecha de seguridad habrá de comunicarse a la Agencia Española de Proteccion de Datos (AEPD) así como al interesado cuyos datos se hayan puesto en peligro en un plazo máximo de 72 horas desde que se haya tenido conocimiento de ello.