Principio de Responsabilidad proactiva (ACCOUNTABILITY)

El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la norma.

Las organizaciones deben analizar qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

El RGPD adopta un enfoque proactivo, exigiendo que el responsable adopte medidas preventivas dirigidas a reducir los riesgos de incumplimiento y, además, que esté en condiciones de demostrar que ha implantado esas medidas y que las mismas son las adecuadas para lograr la finalidad perseguida.

Principio de Privacidad desde el Diseño (PRIVACY BY DESIGN)

Uno de los principales cambios que trae consigo el nuevo Reglamento Europeo de Protección de Datos es el concepto estructurador de Privacidad desde el Diseño y por Defecto o Privacy by Design.

El responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

Principio de transparencia

Según el artículo 5 del nuevo reglamento, hay que tener en cuenta los siguiente a la hora del uso, tratamiento y almacenamiento de datos de caracter personal desde el 25 de Mayo de 2018.

• Los datos personales deben ser tratados de forma lícita, leal y transparente.
• Los datos personales deben ser recogidos con fines determinados explícitos y legítimos.
• Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con el tratamiento.
• Los datos personales deben ser exactos y estar siempre actualizados.
• Los datos personales deben mantenerse de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.
• Los datos personales deben ser tratados de tal manera que se garantice su seguridad.

Nuevas obligaciones para empresas, administraciones y otras entidades

• En ocasiones, será obligatorio designar un Delegado de Protección de Datos (DPO), interno o externo, que asista a las organizaciones en el proceso de cumplimiento normativo. No obstante, la complejidad de la nueva norma hará muy recomendable esta figura en la inmensa mayoría de organizaciones.
• Las brechas de seguridad deberán ser comunicadas a las autoridades de control y, y para casos más graves también a los afectados, estableciéndose el plazo máximo de 72 horas.
• Se amplían los datos especialmente protegidos, incluyendo ahora los datos genéticos y biométricos. Se incluyen también en esta categoría las infracciones y condenas penales, aunque no las administrativas.
• Habrá que elegir un encargado de tratameiento que aporte suficientes garantías de cumplimiento normativo.
• En cuanto a las sanciones, las cuantías por incumplimiento de la norma crecen, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual.

Derechos de los ciudadanos

Los derechos de los interesados son los relativos a transparencia de la información, información cuando se obtienen los datos, acceso, rectificación, supresión ("derecho al olvido"), limitación del tratamiento y portabilidad de los datos.

Sin perjuicio de estos derechos, los interesados tienen también varios recursos en caso de que se incumpla la normativa sobre protección de datos, pudiendo, por ejemplo, presentar una reclamación ante la autoridad de protección de datos, derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de protección de datos o el derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento.

¿Por qué debo adaptarme al RGPD?

Con el nuevo RGPD establecen sanciones importantes que pueden suponer hasta el cierre de la empresa. Asimismo, la protección de datos de carácter personal es una franja del derecho que la UE cada vez desea proteger, regular y controlar más.Es muy importante que las empresas, pymes y autónomos, estén adaptadas en materia de protección de datos.

Sera necesario por tanto revisar los textos legales requeridos en la web, en las facturas, e-mails, documento de confidencialidad firmados para trabajadores, se han tomado las medidas de seguridad adecuadas, etc.