Nuevo Reglamento de Protección de Datos vigente a partir
del 25 de mayo de 2018: REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL
CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales y a la libre circulación
de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general
de protección de datos)
¿Cuándo es aplicable el nuevo reglamento de Protección de datos?
El 25 de mayo de 2016 entró en vigor el Reglamento General
de Protección de Datos (RGPD), que
será aplicable a partir del 28 de mayo de 2018, esto significa que a
partir de la citada fecha las empresas y entidades deberán estar adaptadas al
citado reglamento.
¿Hay cambios relevantes, en relación a la anterior legislación?
Si, hay
cambios relevantes, se exige un mayor rigor en la recogida del consentimiento,
ya no se habla del documento de seguridad, si no que se espera que haya un
mayor seguimiento de las medidas que adopta la empresa en protección de datos,
y entre otras modificaciones se crea la figura de Delegado de protección de
datos.
¿Qué es un delegado de protección de datos?
El
delegado de protección de datos es una figura que se crea como un asesor de la
empresa, y a la vez como un control de
que se adoptan las medidas adecuadas, de forma que llega a ser la persona de
contacto de la Agencia Española de Protección de Datos.
Las
funciones del delegado de Protección de datos:
-
Informar
y asesorar a sobre las obligaciones en protección de datos a la empresa
responsable de los datos, o a la empresa que realiza tratamientos de datos, y a
los empleados que realizan los tratamientos de datos de carácter personal.
-
Supervisar
el cumplimiento de la normativa en Protección de datos, y de
las políticas que la propia empresa establezca para su cumplimiento, incluyendo
asignación de responsabilidades, concienciación, y formación que participa en
el tratamiento de datos, y en las auditorias.
-
Asesorar
sobre la evaluación de impacto que puede producir un
tratamiento de datos de carácter personal.
-
Cooperar con la
Agencia Española de Protección de Datos.
-
Actuar
como punto de contacto entre la empresa y la Agencia de
Protección de Datos, en relación a tratamiento realizados por la empresa, para
realizar la consulta previa a tratamientos que puedan implicar un alto riesgo
en materia de protección de datos, o para consultas de cualquier otra índole.
-
El delegado de protección de datos tendrá en cuenta la
naturaleza, alcance contesto y fines del tratamiento.
¿Qué empresas están obligadas a tener un delegado de protección
de datos?
Empresas que realicen,
o contraten a terceros para que les realicen:
-
Tratamiento
de datos de carácter personal que requieran una observación habitual y sistemática de interesados a gran escala,
ya sea en razón de su naturaleza, alcance y/o fines.
-
Tratamiento
a gran escala de datos personales de origen étnico o racial, de opiniones políticas,
convicciones religiosas o filosóficas, o afiliación sindical, y el tratamiento
de datos genéticos, datos biométricos dirigidos a identificar de manera univoca
a una persona física, datos relativos a la salud o datos relativos a la vida
sexual o las orientaciones sexual de una persona física, y de datos relativos a
condenas e infracciones penales.
En
conclusión el reglamento habla de empresas que utilicen gran cantidad de datos
de forma habitual, y/o que esos datos sean sensibles.
No obstante, se
encuentra pendiente la aprobación una Ley nacional que detalle ciertos aspectos
del Reglamento, en el proyecto actual, de momento se prevén las siguientes
empresas como incluidas dentro del Reglamento de Protección de datos, obligadas
a tener Delegado de Protección de
Datos:
a) Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones.
d) Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.
f) Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
ñ) Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.
Este listado no es definitivo, no obstante, si
se realiza alguna de las actividades o tratamientos que ya prevé el Reglamento,
se debe nombrar un Delegado de Protección de Datos, y comenzar a cumplir la normativa.