El pasado 24 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos, una normativa europea de aplicación directa que establece nuevas obligaciones para todas las empresas, profesionales, administraciones públicas y demás entidades que tratan datos personales. No obstante, con el fin de darles tiempo a adaptarse a sus nuevas exigencias, el propio Reglamento aplazó su aplicación hasta el pasado 25 de mayo de 2018. Expondremos a continuación las principales acciones que deben seguir las empresas y demás obligados para cumplir con estas exigencias.

En primer lugar, deben localizar, y plasmar en un documento de uso interno, los tratamientos que realizan, averiguando cómo captan los datos, dónde los almacenan, con qué finalidades concretas los usan, a quiénes los comunican, y cómo los eliminan.

Tras ello, han de determinar qué base jurídica de las siguientes legitima cada uno de esos tratamientos: el consentimiento inequívoco del interesado mediante un acto afirmativo claro, una relación contractual con el mismo, el cumplimiento de una obligación legal, proteger intereses vitales, el ejercicio de poderes públicos, o un interés legítimo para su tratamiento que prevalezca sobre los derechos de los interesados.

También deben modificar todas las cláusulas mediante las que informan a los interesados en la captación de sus datos personales en formularios, políticas de privacidad y contratos, ya que han de incluir nueva información, tales como la base jurídica que legitima el tratamiento, el plazo de conservación de los datos, o la existencia de nuevos derechos de los ciudadanos como el de limitación del tratamiento o el derecho a la portabilidad. De la misma forma, han de modificarse todos los contratos entre responsables y encargados del tratamiento, ya que ha de incluirse nueva información en los mismos.

Otra tarea consiste en hacer una valoración de los riesgos de todos los tratamientos que se llevan a cabo con el fin de poder determinar qué medidas técnicas y organizativas deben aplicar y cómo deben hacerlo. Además, cuando sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de los interesados, deben realizar una evaluación de impacto que evalúe el origen, la naturaleza, la particularidad y la gravedad del riesgo.

Igualmente, deben establecer un procedimiento que prevea cómo actuar ante posibles violaciones de seguridad, ya que puede existir la obligación de notificarlas en un plazo máximo de 72 horas a la Agencia Española de Protección de Datos, o incluso a los interesados a los que hagan referencia los datos personales que hayan sufrido la violación de seguridad.

En algunas circunstancias, también será necesario crear un registro de actividades de los tratamientos, así como nombrar un delegado de protección de datos, que debe ser una persona con experiencia y conocimiento especializado en derecho de protección de datos.

Todas estas obligaciones han de cumplirse teniendo en cuenta una de las novedades más importantes de esta nueva normativa, la responsabilidad proactiva, por la que el responsable del tratamiento debe no solo cumplir todo lo que establece el Reglamento, sino que además deberá ser capaz de demostrar su cumplimiento.

 

Pedro Rodríguez López de Lemus | López de Lemus Abogados

Profesor de EOI- Escuela de Organización Industrial

Artículo incluido en el número de junio de la revista Agenda de la Empresa