El próximo 25 de mayo de 2018 comienza a ser de aplicación el Reglamento Europeo de Protección de Datos que se aprobó el 27 de abril del 2016.
Designed by macrovector / Freepik
La entrada en funcionamiento del Reglamento (25 de mayo de 2018) comportará la necesidad de adaptarse a las nuevas exigencias de esta norma que tiene por finalidad proteger a las personas físicas en lo que respecta al «tratamiento» de sus datos personales.
Hasta esa fecha la protección de datos personales se regula, básicamente, en 2 normas:
1) Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y,
2) Reglamento de desarrollo de la LOPD, aprobado por el Real Decreto 1720/2007 de 21 de diciembre (RLOPD).
Pero, a partir del 25 de mayo de 2018 es indispensable cumplir con las nuevas exigencias del Reglamento General de Protección de Datos.
La principal novedad es la introducción del «principio de responsabilidad proactiva«.
Este principio comporta la obligación de adoptar «medidas técnicas y organizativas» apropiadas a fin de garantizar y poder demostrar que el «tratamiento» de datos personales es conforme con el Reglamento.
Ahora bien, esto no consistirá en aplicar una serie de medidas estandarizadas sino que se habrá que analizar las características propia de cada organización (empresas, autónomos, etc), teniéndose en cuenta la naturaleza, el ámbito, el contexto y los fines de tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas personas físicas.
El artículo 5.1. del Reglamento enumera los principios relativos al tratamiento.
1. Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado (licitud, lealtad y transparencia).
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (licitud de la finalidad).
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (minimización de datos).
d) exactos y, si fueran necesarios, actualizados (exactitud).
e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales (limitación del plazo de conservación).
f) tratados de manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (integridad y confidencialidad).
Así el Reglamento establece una serie de medidas a adoptar, entre ellas:
1) Medidas de protección de datos desde el diseño.
2) Medidas por defecto.
3) Llevanza de un registro de actividades de tratamiento
4) Evaluación del impacto relativo a la protección de datos.
5) Designación de un delegado de protección de datos.
Sobre estas y otras medidas profundizaremos en proximos post.