Seguro que durante estos días estáis recibiendo muchos emails en los que se avisa sobre la actualización de la Política de Privacidad. ¿Por qué están todas las empresas avisando ahora a sus usuarios?, ¿qué cambia en la Ley de Protección de Datos? Para aclarar las dudas, Luis Miguel Larriba, profesor de la escuela y abogado especializado en derecho corporativo y fiscal, nos explicó en un webinar en qué consiste la Nueva Ley de Protección de Datos (RGDP).
Larriba aclaró que el 25 de mayo de 2018 se obliga a poner en práctica el Nuevo Reglamento de Protección de Datos a nivel europeo, pero este realmente entró en vigor el 25 de mayo de 2016 con una cláusula en la que se daban dos años para iniciar la aplicación obligatoria del reglamento. "Por eso ahora todas las empresas lo están poniendo en marcha", añade.
¿Quiénes están obligados a cumplir con el reglamento?
Este Reglamento se aplica todas aquellas entidades que traten datos de carácter personal que se encuentren dentro de la Unión Europea. También se aplicarán a responsables y encargados no establecidos en la UE siempre que traten datos como consecuencia de una oferta de bienes o servicios destinados a ciudadanos de la Unión.
Como ocurre con la actual norma tanto empresas, autónomos, profesionales, entes públicos y cualquiera que por su actividad realice tratamientos de datos, ya sean estos por su cuenta propia o a través de terceros.
Objetivos: permitir a los ciudadanos un mejor control sobre sus datos personales y generar mayor confianza a los consumidores europeos que realicen compras online en diferentes estados de la unión.
"España siempre ha estado a la cabeza de la protección de datos en cuanto a la intimidad y datos personales de los consumidores. Tanto es así, que la aplicación obligatoria desde el 25 de mayo para la unificación de los países europeos supone una modificación mínima actualizándose solo algunos conceptos e incorporando pocas novedades", explicó Larriba en el webinar.
Nuevos derechos RDGP
Derecho al olvido. Es el derecho a que determinada información desaparezca y deje de ser pública. Nuestro experto explicó que este derecho "tiene ciertas restricciones como lo referido a personas públicas así como para las empresas porque está dedicado a personas físicas principalmente. Hay cierta información que no puede ser eliminada tan fácilmente como la que sea pública en medios de comunicación ya que prevalece el derecho a la información y libertad e expresión. En estos casos hay que ponderar libertades".
¿Qué norma tengo que aplicar?
Larriba explicó que la Ley Orgánica de Protección de Datos sigue vigente, lo que hace que la normativa europea no derogue la ley, sino que ambas normas están vigor. ¿Qué significa esto? Que puede haber determinadas obligaciones que están en la norma interna pero no en el reglamento europeo. En el caso de que tengan matices diferentes, ¿qué aplico? Por prioridad de normas siempre está la normativa europea que tendremos que aplicar en primer lugar. Si el reglamento europeo no regula esa cuestión o la norma interna la desarrolla más, se aplican ambas, primero la europea y después la normativa interna.
Novedades más relevantes:
Cambios en la obtención del consentimiento
Como novedad, el nuevo GDPR indica que para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad.
Delegado de protección de datos
Nueva figura. El DPO se encargará de la planificación de las medidas de seguridad aplicables a los tratamientos de datos. así como la gestión de los mismos.
Esta figura no es obligatoria para todas las organizaciones: solo tendrán que contar con un delegado las empresas públicas, las que tengan un tratamiento a gran escala o las que recojan datos especialmente sensibles o relativos a condenas o infracciones penales.
Ampliación del deber de información
El usuario debe tener totalmente claro con qué finalidad proporciona sus datos a la empresa. Se exige la obligación de informar sobre:
- se tiene que explicar la base legal para el tratamiento de los datos
- se debe informar acerca del periodo de conservación
- se debe informar acerca de la posibilidad de hacer reclamaciones
- se debe informar de los demás derechos que incorpora el nuevo RGDP
Notificación de violaciones de seguridad
La nueva normativa exige que las violaciones en la seguridad que puedan afectar a los datos personales sean notificadas en un plazo máximo de 72 horas a la Autoridad de Control correspondiente (Agencia Española de Protección de Datos).
Si además si en esa violación se pueden ver afectados datos de carácter sensible y con gran repercusión a los afectados, también se lo deberá notificar a estos mismos.