El 25 de Mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD) y que comienza a aplicarse el 25 de Mayor de 2018.
En esta página intentaremos explicar de forma clara los cambios principales con respecto a la anterior (LOPD).
Delegado de protección de datos (DPD o DPO en inglés)
El RGPD obligará a muchas empresas a nombre un delegado de protección de datos, que será la persona que velará y asesorá en la empresa para el correcto cumplimiento de la nueva normativa.
Puede ser una persona de la empresa o fuera de ella, pero debe tener conocimientos en protección de datos.
No será necesaria tener ninguna certificación como DPD. No obstante, indicar que la Agencia Española de Protección de Datos está impulsando un programa para certificar a Delegados de Protección de Datos en España.
Será la persona de enlace entre la empresa y la autoridad de control.
Solo es obligatorio en diferentes situaciones:
Todos los organismos públicos.
Empresas o entidades que, como actividad principal, realicen un seguimiento de personas de forma sistemática y a gran escala.
Empresas o entidades que manejen categorías especiales (afiliación sindical, datos genéticos, datos biométricos o relativos a la salud) de datos personales a gran escala.
Los proveedores de servicios que accedan a datos personales (encargados del tratamiento) y que cumplan cualquiera de los puntos anteriores.
Cuando una empresa nombre al DPD, este o la propia empresa, deberan comunicar en la Agencia Nacional de Protección de Datos quién es el DPD. Al final de este documento encontrará un enlace de dicha página.
El DPD estará obligado a mantener el secreto documental y confidencialidad en relación con el desempeño de sus tareas,
de acuerdo con el Derecho de la Unión Europea o de los Estados miembros, además deberá tener probada accesibilidad.
Es decir, debe estar disponible para los interesados, para la Agencia Española de Protección de Datos y lógicamente
accesible para la organización que lo ha nombrado.
Las funciones del DPD de protección de datos son las siguientes:
Recabar información para determinar las actividades de tratamiento.
Analizar y comprobar la conformidad de las actividades de tratamiento.
Informar, asesorar y emitir recomendaciones al responsable o el encargado del tratamiento.
Asesorar a la Compañía cuando se lleve a cabo una evaluación de impacto de la protección de datos.
Comunicar los incidentes de seguridad que sufra la empresa, en un plazo máximo de 72 horas, a los usuarios, clientes o empresas afectadas.
Obtención del consentimiento para el tratamiento de los datos
La información que se muestra en los consentiemientos cambia bastante.
Este consentimiento, otorgado voluntariamente, podrá ser revocado en cualquier momento, con causa justificada, por las personas afectadas, debiendo, en dicho supuesto, cancelarse los datos existentes sobre las mismas, excepto si estos datos pudieran serles obligatoriamente exigidos.
No se exige el consentimiento del afectado cuando:
El tratamiento tenga por finalidad proteger un interés vital del interesado.
El tratamiento resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o la gestión de servicios sanitarios siempre que dicho tratamiento se realice por un profesional o por otra persona sujeta asimismo a una obligación de secreto.
Se realice una comunicación de datos personales sobre la salud, incluso a través de medios electrónicos, entre organismos, centros y servicios del Sistema Nacional de Salud para la atención sanitaria de las personas.
Otros supuestos en que por razones de interés general, así lo establezca una Ley.
Consentimiento expreso
Una de las cuestiones principales es que los consentimientos tienen que ser muy claros e inequívoco. Ahora ya no es válido el consentimiento tácito derivado por ejemplo de no desmarcar una casilla, o de no responder a un correo electrónico. El consentimiento debe ser expreso, de manera que si queremos que nos autorice a determinado tratamiento o cesión de datos, tenga que ser el usuario el que marque la opción correspondiente.
Menores de edad
Para poder realizar un tratamiento de los datos personales de un menor de edad necesitamos siempre un consentimiento que debe proporcionarlo el propio menor o sus padres dependiendo de la edad de aquel. Así, los mayores de 13 años pueden otorgar por sí mismos el consentimiento para tratar sus datos. Si son menores de 13 años, se requiere la autorización de sus padres o tutores legales.
Si los padres están divorciados, independientemente de que la guarda y custodia del menor en cuestión se atribuya en exclusiva a uno de ellos, no le da derecho sin más al progenitor que ostente la custodia a autorizar el tratamiento de los datos personales de su hijo menor sin el consentimiento del otro, ya que debemos tener en cuenta que en estos casos lo más normal es el ejercicio compartido de la patria potestad o representación legal del menor por parte de ambos padres, con lo que sigue siendo preciso que ambos autoricen previamente ese tratamiento.
Datos de salud
Los datos de salud son considerados como datos especialmente protegidos y, para poder tratarlos, se exige un consentimiento inequívoco del titular.