Cambios y novedades del RGPD respecto la LOPD

Muchos de los conceptos del RGPD ya los habíamos visto de forma implícita en la actual normativa de la LOPD, no obstante el nuevo reglamento introduce nuevos enfoques y elementos que comportan nuevas obligaciones para las empresas y organizaciones de la UE.

¿Cuáles son las principales novedades que trae el RGPD?

Enfoque de riesgo y responsabilidad proactiva

El enfoque de riesgo implica que la empresa debe tener en cuenta el riesgo del tratamiento para los derechos y libertades de las personas. Así pues, esto implica que cuando haya un riesgo alto de afectar a los derechos y libertades se aplicarán las medidas del RGPD que correspondan.

Para determinar qué medidas del RGPD se aplicarán se tendrá en cuenta la naturaleza, el ámbito, el fin y el contexto del tratamiento. Las medidas del RGPD se aplicarán dependiendo del nivel y tipo de riesgo del tratamiento en cuestión.

Por otra parte, el Principio de Responsabilidad Proactiva expresa que el responsable del tratamiento debe aplicar medidas técnicas y organizativas que garanticen que el tratamiento es conforme con el reglamento. Es decir, la empresa toma la iniciativa en cuanto a la gestión de los datos personales y por tanto analizan la tipología y finalidad de los datos que tratan y, a partir de ese análisis, decide adoptar las medidas adecuadas que sugiere el RGPD.

 

Nuevos derechos: limitación, portabilidad, olvido

El derecho de limitación: tal y como su nombre indica, supone poner límites al tratamiento de los datos personales. La persona podrá solicitar suspender el tratamiento de dichos datos en determinados supuestos, y el responsable deberá informar a la persona antes de volver a tratar con sus datos personales.
Derecho de portabilidad: va un paso más allá respecto al derecho de acceso e implica que la persona puede solicitar una copia de los datos personales que haya facilitado en un formato “estructurado, de uso común y lectura mecánica”. No significa la terminación del servicio, solamente la obtención de los datos, por ejemplo al cambiar de proveedor de un servicio.
Derecho al olvido: la persona puede solicitar la eliminación de sus datos cuando se cumpla alguno de estos casos:
  1. Cuando los datos ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados.
  2. Cuando el interesado retire su consentimiento para el tratamiento.
  3. Cuando el interesado se oponga al tratamiento y no prevalezcan otros motivos legítimos para el tratamiento.
  4. Cuando los datos hayan sido tratados ilícitamente.
  5. Cuando los datos deban suprimirse para el cumplimiento de una obligación que se aplique al responsable del tratamiento.
  6. Cuando los datos se hayan obtenido en relación de la oferta directa a niños de servicios de la llamada “sociedad de la información”.

Endurecimiento de las sanciones

El RGPD establece cuantías que pueden llegar a ser más altas que las contempladas por la LOPD. La multa administrativa puede llegar al equivalente al 2% de la facturación total anual de la empresa en caso de sanciones graves, y del 4% en caso de sanciones muy graves. Además de esto, se incluye la posibilidad de que la empresa reciba denuncias anónimas, factor que puede llevar al peligro de denuncias entre competidores por incumplimiento RGPD.

Evaluaciones de riesgos

Aunque es una acción que ya se realizaba de forma implícita con la LOPD, el nuevo reglamento expresa claramente la necesidad de las empresas de realizar una evaluación de riesgos.

El RGPD establece que el responsable debe aplicar medidas de seguridad técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo. Es una obligación que depende del responsable y no del DPO como algunas personas pueden creer. Hay que tener en cuenta que existe un riesgo cuando hay posibilidad de destrucción, pérdida o alteración de los datos personales:

  • La transmisión, conservación o tratamiento de forma irregular
  • La comunicación o acceso no autorizado

No hay que confundir la evaluación de riesgos con la evaluación de impacto o PIA (Privacy Impact Assessment). Según la AEPD, un PIA es el “ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados, con el fin de afrontar la gestión eficaz de medidas necesarias para eliminarlos o mitigarlos”. ¿Cuándo se aplica un PIA?

  • Evaluación sistemática y exhaustiva de aspectos personales (perfiles)
  • Tratamientos a gran escala
  • Observación sistemática a gran escala de una zona de acceso público

Registro de Actividades de Tratamiento (RAT)

EL RGPD también establece que las empresas deberán recopilar y notificar un registro de actividades de tratamiento de datos personales, es decir, especificar qué tipo de datos se recogen, con qué finalidad, quiénes son los encargados de tratamiento.

La obligación de realizar el RAT corresponde al responsable y a los encargados de tratamiento. ¿Qué requisitos hay que cumplir para estar obligado a realizar el RAT?

  • Cuando una empresa u organización tiene más de 250 trabajadores.
  • Cuando realizas tratamientos que pueden ocasionar un riesgo para los derechos y libertades de los interesados o incluya categorías especiales de datos o aquellos relativos a condenas de infracciones.
  • Si se realizan tratamientos que no sean ocasionales.

Comparte este artículo

Comparte

Artículo redactado por:

Lisa Hofmann

Chief of Legal Operations de Pridatect | Especialista legal certificada en protección de datos por la institución alemana de servicios relacionados con la seguridad TUEV. Con amplia experiencia en ayudar a empresas en el cumplimiento de la privacidad.

Artículos relacionados

Buscar

Newsletter

¿Quieres recibir todas las noticias sobre el RGPD? Suscríbete a nuestro boletín y recibe contenido exclusivo

Webinars gratuitos