El Reglamento General de Protección de Datos (RGPD), conocido también como "Reglamento Europeo de Protección de Datos", entró en vigor en mayo de 2016. No obstante, se aplica desde el 25 de mayo de 2018, por lo que los responsables y encargados de tratamiento, deben adecuar el tratamiento de datos personales que realizan a lo previsto en el citado Reglamento. Asimismo, el Reglamento es directamente aplicable, por lo que a diferencia de la Directiva 95/46 no necesita ser transpuesto al ordenamiento jurídico español.
Además del RGPD, en la actualidad se está tramitando una nueva Ley Orgánica de Protección de Datos que complete lo dispuesto en la norma comunitaria. Esta nueva Ley contiene una disposición derogatoria única por la cual se deroga la LOPD así como cualquier otra disposición de igual o inferior rango que contradigan, se opongan, o resulten incompatibles con lo dispuesto en el RGPD.
No obstante lo anterior, desde que es aplicable el RGPD, la mayor parte del contenido de la LOPD y su Reglamento de desarrollo es desplazado por la norma comunitaria. Si seguirán vigentes algunos de los preceptos tanto de la LOPD como de su Reglamento de desarrollo, como por ejemplo aquellos que regulan los tratamientos de solvencia patrimonial o la denominada «Lista Robinson».
¿Qué novedades introduce el RGPD?El RGPD establece un catálogo de las medidas que los responsables, y en ocasiones los encargados, deben aplicar para garantizar que los tratamientos son conformes al citado RGPD, así como que están en condiciones de demostrarlo.Estas medidas de responsabilidad proactiva son las siguientes:
Análisis de riesgo.
Registro de actividades del tratamiento.
Protección de datos desde el diseño y por defecto.
Adopción de medidas de seguridad.
Notificaciones de «violaciones de seguridad de los datos»
Evaluaciones de impacto sobre la protección de datos.
Nombramiento del Delegado de Protección de Datos.
Además, el RGPD contempla dos medidas más con la finalidad de contribuir a la correcta aplicación de la norma:
La adhesión por parte de responsables y encargados de tratamiento a códigos de conducta.
La creación de mecanismos de certificación y de sellos y marcas de protección de datos.
Herramientas facilitadas por la AEPDLa Agencia Española de Protección de Datos pone a su disposición la herramienta Facilita RGPD.Esta herramienta está destinada a aquellas empresas que realizan tratamientos de datos personales que, a priori, implicarían escaso nivel de riesgos como por ejemplo: tratamientos de datos de contacto y facturación de los clientes o proveedores de una pequeña empresa, o el tratamiento de los datos de sus empleados con la finalidad del mantenimiento de una relación laboral.Es un programa de ayuda general y como tal no es perfecta para todos los casos porque puede haber peculiaridades de cada empresa que no pueden tenerse en cuenta.Los documentos resultantes de la ejecución de este programa (cláusulas informativas que debe incluir en sus formularios de recogida de datos personales, cláusulas contractuales para anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento, y un anexo con medidas de seguridad orientativas consideradas mínimas), serán válidos en la medida que las respuestas facilitadas a cada una de las preguntas sean ciertas y son los mínimos indispensables para facilitar el cumplimiento del Reglamento General de Protección de Datos.Si se utiliza el programa Facilita_RGPD, ¿es necesario realizar el análisis de riesgos?Conviene precisar que el programa Facilita_RGPD de la AEPD no garantiza el pleno cumplimiento del RGPD, siendo una herramienta destinada a aquellas empresas que realizan tratamientos de datos personales que, a priori, implicarían escaso nivel de riesgo para los derechos y libertades de las personas cuyos datos tratan, teniendo en cuenta que todo tratamiento conlleva un cierto nivel de riesgo.Por tanto, si una empresa utiliza Facilita_RGPD puesto que sus tratamientos son de escaso nivel de riesgo, no es necesario realizar el análisis de riesgos, sin perjuicio de que se adopten las correspondientes medidas de seguridad.¿Qué actuaciones hay que realizar para adecuarse al RPGD? La AEPD ha publicado dos documentos, uno dirigido al sector privado y otro a las Administraciones públicas, reflejando las actuaciones u «hoja de ruta» que se debe llevar a cabo para que los tratamientos sean conformes al RGPD. Estas actuaciones, serían las siguientes:
Designar al delegado de protección de datos si es obligatorio o si se asume voluntariamente.
Elaborar el registro de actividades de tratamiento.
Analizar las bases jurídicas de los tratamientos.
Efectuar un análisis de riesgos.
En el sector privado, debe realizarse por aquella entidad que no pueda utilizar el programa Facilita_RGPD.
Revisar las medidas de seguridad en función del análisis de riesgos realizado.
Establecer mecanismos y procedimientos de gestión de quiebras de seguridad.
Llevar a cabo, cuando sea necesario, una evaluación de impacto de la protección de datos.
Adecuar los formularios de recogida de datos personales al contenido del derecho a la información del RGPD.
Adaptar los procedimientos para atender a los derechos de los afectados en relación al tratamiento de sus datos personales.
Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento del RGPD.
Adoptar los contratos con encargados de tratamiento al contenido que dispone el RGPD.
Confeccionar e implantar políticas de protección de datos.
Estas y otras muchas preguntas le serán contestadas a través del apartado de preguntas frecuentes