{"id":12655,"date":"2018-04-09T09:15:27","date_gmt":"2018-04-09T07:15:27","guid":{"rendered":"https:\/\/www.csfconsulting.es\/?p=12655\/"},"modified":"2018-04-09T09:35:49","modified_gmt":"2018-04-09T07:35:49","slug":"cuenta-atras-para-la-adaptacion-al-nuevo-reglamento-general-de-proteccion-de-datos-rgpd","status":"publish","type":"post","link":"https:\/\/www.csfconsulting.es\/fr\/cuenta-atras-para-la-adaptacion-al-nuevo-reglamento-general-de-proteccion-de-datos-rgpd\/","title":{"rendered":"Cuenta Atr\u00e1s para la Adaptaci\u00f3n al Nuevo Reglamento General de Protecci\u00f3n de Datos (RGPD)"},"content":{"rendered":"<h3>A partir del pr\u00f3ximo 25 de mayo de 2018 entra en vigor el\u00a0 nuevo Reglamento Europeo General de Protecci\u00f3n de Datos (RGPD).<\/h3>\n<p>Queda, adem\u00e1s, pendiente la aprobaci\u00f3n de la nueva Ley Org\u00e1nica de Protecci\u00f3n de Datos, que se encuentra actualmente en tramitaci\u00f3n parlamentaria y que muy probablemente no estar\u00e1 lista para el pr\u00f3ximo 25 de mayo, fecha de aplicaci\u00f3n del Reglamento europeo. De todas formas, esto no supone ning\u00fan tipo de ventaja o inconveniente, puesto que el Reglamento europeo ser\u00e1 plenamente exigible de todas formas.<\/p>\n<p><strong>Atenci\u00f3n.<\/strong> El RGPD es un tipo de norma que tiene aplicaci\u00f3n directa en todos los estados de la UE y, por tanto, no precisa de ning\u00fan tipo de mecanismo de transposici\u00f3n espec\u00edfico. Dicho de otra forma, no hace falta que exista ninguna ley espa\u00f1ola para que el Reglamento europeo resulte obligatorio, es exigible como si fuera una ley nacional.<\/p>\n<p>Es importante establecer un mapa de ruta para cumplir con el nuevo Reglamento, ya que hay numerosas decisiones jur\u00eddicas relevantes a tener en cuenta.<\/p>\n<p>El primer paso que todas las empresas deber\u00edan ejecutar es <strong>identificar y analizar las \u00e1reas de riesgo y documentar los tratamientos de datos personales<\/strong> que se llevan a cabo, a trav\u00e9s de un inventario de todas las actividades de tratamiento que realiza la compa\u00f1\u00eda. De esta manera ser\u00e1 m\u00e1s sencillo clasificar los datos de acuerdo con: su naturaleza, finalidad, categor\u00eda, origen, si son susceptibles de ser compartidos, etc.<\/p>\n<p>Son muchas las obligaciones que tanto las empresas, aut\u00f3nomos y organismos p\u00fablicos y privados que traten datos de car\u00e1cter personal deben conocer y el tiempo es escaso, por lo que es necesario adoptar sin dilaci\u00f3n las decisiones necesarias para llegar a ese plazo en situaci\u00f3n de cumplimiento. El riesgo de no hacerlo es el de posibles sanciones: las multas pueden llegar hasta los 20 millones de euros o el 4% de la facturaci\u00f3n anual global del infractor. La autoridad de control puede actuar de oficio o por denuncia de los interesados.<\/p>\n<p>En cuanto a los cambios y obligaciones que afectan a las empresas, podemos destacar entre otros los siguientes:<\/p>\n<ul>\n<li>Delegado de Protecci\u00f3n de Datos (DPD \/ DPO). El Reglamento obliga a quienes realicen ciertos tratamientos, a nombrar un DPO, que podr\u00e1 ser externo o interno. Un DPO deber\u00e1 ser una persona experta en Protecci\u00f3n de Datos y en m\u00e9todos y t\u00e9cnicas de Seguridad de la informaci\u00f3n.<\/li>\n<li>Exigencia de la realizaci\u00f3n de una evaluaci\u00f3n de impacto relativa a la protecci\u00f3n de datos para ciertos tratamientos.<\/li>\n<li>Violaciones de la seguridad de los datos personales. Obligatoriedad de comunicarlas en un plazo de 72 horas a la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos, y en casos graves, a los propios afectados.<\/li>\n<li>Se elimina el consentimiento t\u00e1cito (por silencio), lo que obligar\u00e1 a las empresas a recabar un nuevo consentimiento para poder mantener todos aquellos datos que en el pasado se obtuvieron t\u00e1citamente o buscarles otra cobertura legal.<\/li>\n<li>Se ampl\u00edan las obligaciones de informaci\u00f3n a los afectados, lo que obligar\u00e1 ponerles al d\u00eda en dicha informaci\u00f3n a los ya existentes.<\/li>\n<li>Se ampl\u00eda el contenido m\u00ednimo en los contratos de acceso a datos por parte de terceros, por lo que deber\u00e1n de establecerse de nuevo los contratos con los encargados de tratamiento, dado que los actuales no cumplen con el RGPD.<\/li>\n<li>El RGPD no establece diferenciaci\u00f3n entre datos personales y datos \u2018profesionales\u2019 (datos de contacto de personas f\u00edsicas que prestan sus servicios en una persona jur\u00eddica y empresarios individuales) como estableci\u00f3 el vigente Reglamento, lo que obligar\u00e1 a las empresas a tener que realizar acciones informativas a esta categor\u00eda de datos.<\/li>\n<\/ul>\n<p>1.- CONSENTIMIENTO EXPRESO<\/p>\n<p>Se establece la obligaci\u00f3n de las empresas de obtener un consentimiento expreso, inequ\u00edvoco y verificable, y no t\u00e1cito de la informaci\u00f3n que se obtenga de sus clientes. Se considera consentimiento t\u00e1cito cuando, despu\u00e9s de haber recibido la informaci\u00f3n correspondiente, el usuario no dice que no (ejemplo: \u201csi no me contestas antes de 30 d\u00edas, entonces te enviar\u00e9 informaci\u00f3n comercial de terceros\u201d).<\/p>\n<p>Por tanto, el consentimiento t\u00e1cito se considera v\u00e1lido, siempre y cuando no nos encontremos ante datos especialmente protegidos.<\/p>\n<p><strong>Atenci\u00f3n<\/strong>: <em>A partir de la entrada en vigor del nuevo RGPD, no se podr\u00e1 seguir obteniendo el consentimiento de los afectados por omisi\u00f3n. Ser\u00e1 necesario revisar todos los tratamientos anteriores, para adecuarlos a las previsiones de la nueva normativa<\/em>.<\/p>\n<p>Puede ser inequ\u00edvoco y otorgarse de forma impl\u00edcita cuando se deduzca de una acci\u00f3n del interesado (por ejemplo, cuando el interesado contin\u00faa navegando por una web y acepta as\u00ed el que se utilicen cookies para monitorizar su navegaci\u00f3n).<\/p>\n<p>2.- TRANSPARENCIA EN LA INFORMACI\u00d3N<\/p>\n<p>Ser\u00e1 necesario que las empresas detallen expl\u00edcitamente y con un lenguaje comprensible los datos e informaci\u00f3n personal requerida al usuario o cliente y solo se podr\u00e1 tratar los datos en caso que tengan un inter\u00e9s leg\u00edtimo.<\/p>\n<p>El deber de informar a los afectados sobre el uso y las finalidades del tratamiento de datos, sufre una importante modificaci\u00f3n con el nuevo RGPD, pues <strong>se ampl\u00eda considerablemente la informaci\u00f3n que se les debe suministrar<\/strong>, incluyendo aspectos no contemplados hasta la fecha como:<\/p>\n<ul>\n<li>Base jur\u00eddica del tratamiento<\/li>\n<li>Intenci\u00f3n de realizar transferencias internacionales<\/li>\n<li>Datos del Delegado de Protecci\u00f3n de Datos (si lo hubiere)<\/li>\n<li>El plazo o los criterios de conservaci\u00f3n de la informaci\u00f3n,<\/li>\n<li>La existencia de decisiones automatizadas o elaboraci\u00f3n de perfiles,<\/li>\n<li>El derecho a presentar una reclamaci\u00f3n ante las Autoridades de Control<\/li>\n<\/ul>\n<p><strong>Atenci\u00f3n.<\/strong> <em>Los procedimientos, modelos o formularios dise\u00f1ados de conformidad con la LOPD, deber\u00e1n ser revisados y adaptados al nuevo RGPD, tanto para adaptarlos al nuevo contenido del deber de informar, como para ajustar su forma a los requisitos de precisi\u00f3n y claridad que exige la nueva normativa.<\/em><\/p>\n<p>3.- SEGURIDAD<\/p>\n<p>Las empresas est\u00e1n obligadas a informar cuando hayan sufrido una brecha de seguridad a las autoridades de control y, dependiendo de la gravedad, a los afectados. Aunque es un asunto necesario hoy en d\u00eda, el reglamento establece la necesidad de dejar plasmada una estrategia en materia de seguridad.<\/p>\n<p>En la nueva normativa, las medidas de seguridad no aparecen tan detalladas, sino que <strong>cada organizaci\u00f3n deber\u00e1 contar con un nivel de seguridad adecuado en funci\u00f3n de los riesgos detectados en el an\u00e1lisis previo<\/strong>.<\/p>\n<p>Adem\u00e1s, la tipolog\u00eda de los datos no ser\u00e1 la \u00fanica variable a tomar en consideraci\u00f3n a la hora de determinar las medidas t\u00e9cnicas y organizativas aplicables sino que, por el contrario, el nuevo RGDP tiene en cuenta:<\/p>\n<ul>\n<li>El coste de la t\u00e9cnica<\/li>\n<li>Los costes de aplicaci\u00f3n<\/li>\n<li>La naturaleza, el alcance, el contexto y los fines del tratamiento<\/li>\n<li>Los riesgos para los derechos y libertades<\/li>\n<\/ul>\n<p><strong>Atenci\u00f3n<\/strong>. <em>El esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD no seguir\u00e1 siendo v\u00e1lido de forma autom\u00e1tica. Es necesario determinar, caso por caso, las medidas aplicables, bajo un enfoque de riesgo, basado en el principio de la seguridad desde el dise\u00f1o y por defecto<\/em>.<\/p>\n<p>4.- ENCARGADOS DE TRATAMIENTO<\/p>\n<p>Tambi\u00e9n la figura de los encargados de tratamiento sufre importantes cambios en la nueva regulaci\u00f3n. En s\u00edntesis, estos cambios se pueden resumir en tres puntos:<\/p>\n<p>1) El nuevo RGPD establece <strong>obligaciones expresamente dirigidas a los encargados de tratamiento<\/strong>, como:<\/p>\n<ul>\n<li>Mantener un registro de actividades de tratamiento.<\/li>\n<li>Determinar las medidas de seguridad aplicables a los tratamientos que realizan.<\/li>\n<li>Designar a un Delegado de Protecci\u00f3n de Datos en los casos previstos por el RGPD.<\/li>\n<\/ul>\n<p>2) Se acent\u00faa el <strong>deber de diligencia en la elecci\u00f3n del encargado del tratamiento<\/strong>, de manera que los responsables habr\u00e1n de elegir \u00fanicamente encargados que ofrezcan garant\u00edas suficientes para aplicar medidas t\u00e9cnicas y organizativas apropiadas.<\/p>\n<p>3) Se modifica el <strong>contenido m\u00ednimo que debe incluir el contrato con el encargado del tratamiento<\/strong>, incluyendo aspectos como:<\/p>\n<ul>\n<li>Objeto, duraci\u00f3n, naturaleza y la finalidad del tratamientos<\/li>\n<li>Tipo de datos personales y categor\u00edas de interesados<\/li>\n<li>Obligaci\u00f3n del encargado de tratar los datos personales \u00fanicamente siguiendo instrucciones documentadas del responsable<\/li>\n<li>Condiciones para que el responsable pueda dar su autorizaci\u00f3n previa, espec\u00edfica o general, a las subcontrataciones<\/li>\n<li>Asistencia al responsable, siempre que sea posible, en la atenci\u00f3n al ejercicio de derechos de los interesados&#8230;<\/li>\n<\/ul>\n<p><strong>Atenci\u00f3n<\/strong>. <em>Se deben revisar todos los contratos de encargo de tratamiento firmados con anterioridad, para verificar si cumplen las nuevas exigencias del RGPD.<\/em><\/p>\n<p>5.- DERECHOS DEL CIUDADANO<\/p>\n<p>El nuevo RGPD incluye nuevos derechos como el derecho a la portabilidad y el derecho al olvido, el derecho a no ser objeto de decisiones individualizadas y el derecho a la limitaci\u00f3n del tratamiento.<\/p>\n<ul>\n<li><strong>EL DERECHO DE ACCESO<\/strong>: Es el derecho a conocer qu\u00e9 datos de car\u00e1cter personal tuyos est\u00e1n siendo tratados por parte del responsable, la finalidad de este tratamiento, el origen de los citados datos y si se han comunicado o se van comunicar a un tercero.<\/li>\n<\/ul>\n<p><strong><u>Atenci\u00f3n<\/u><\/strong><strong>: <\/strong><em>Seg\u00fan la LOPD, el responsable del tratamiento deb\u00eda facilitarse todos los datos de base del afectado, pero no copias o documentos. Sin embargo, el nuevo RGPD reconoce expresamente el derecho de los afectados a obtener gratuitamente una copia de los datos personales objeto de tratamiento.<\/em><\/p>\n<p>Si es posible, el responsable del tratamiento debe estar facultado para facilitar acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales.<\/p>\n<ul>\n<li><strong>EL DERECHO DE RECTIFICACION<\/strong>: Consiste en la posibilidad de modificar aquellos datos que sean inexactos o incompleto<\/li>\n<\/ul>\n<p><strong><u>Atenci\u00f3n<\/u><\/strong><strong>:<\/strong> <em>Adem\u00e1s de rectificar los datos inexactos, se incluye el derecho a que se completen los datos personales incompletos, inclusive mediante una declaraci\u00f3n adicional<\/em>.<\/p>\n<ul>\n<li><strong>EL DERECHO DE CANCELACI\u00d3N<\/strong>: Permite la cancelaci\u00f3n de datos personales que sean inadecuados o excesivos.<\/li>\n<\/ul>\n<p><strong><u>Atenci\u00f3n<\/u><\/strong>: <em>Los interesados tienen derecho a que sus datos personales se supriman y dejen de tratarse: <\/em><\/p>\n<ul>\n<li><em>si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, <\/em><\/li>\n<li><em>si los interesados han retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen, <\/em><\/li>\n<li><em>si el tratamiento de sus datos personales incumple de otro modo el RGPD <\/em><\/li>\n<li><strong>El DERECHO DE OPOSICION<\/strong>: Mediante el ejercicio de este derecho el interesado puede oponerse al tratamiento de sus datos personales en los siguientes supuestos:<\/li>\n<li>Cuando no siendo necesario su consentimiento para el tratamiento, exista un motivo leg\u00edtimo y fundado referente a su concreta situaci\u00f3n personal (salvo que una Ley establezca lo contrario).<\/li>\n<li>Cuando estemos ante tratamientos de datos personales cuya finalidad sea la realizaci\u00f3n de actividades de publicidad y prospecci\u00f3n comercial<\/li>\n<li>Cuando el tratamiento tenga como fin la adopci\u00f3n de una decisi\u00f3n referida a su persona, basada \u00fanicamente en un tratamiento automatizado de sus datos personales<\/li>\n<li><strong>DERECHO AL OLVIDO<\/strong>: Es una manifestaci\u00f3n de los derechos de cancelaci\u00f3n u oposici\u00f3n en el entorno online. El responsable del tratamiento que haya hecho p\u00fablicos datos personales, est\u00e1 obligado a indicar a los responsables del tratamiento que est\u00e9n tratando tales datos personales, que supriman todo enlace a ellos, o las copias o r\u00e9plicas de los mismos.<\/li>\n<\/ul>\n<p><strong><u>Atenci\u00f3n<\/u><\/strong>: <em>El derecho al olvido tiene algunas limitaciones como la libertad de expresi\u00f3n y el derecho a la informaci\u00f3n, el inter\u00e9s p\u00fablico en el \u00e1mbito de la salud, la investigaci\u00f3n as\u00ed como la defensa de reclamaciones.\u00a0 <\/em><\/p>\n<ul>\n<li><strong>DERECHO A LA PORTABILIDAD DE LOS DATOS<\/strong>: Es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso com\u00fan y lectura mec\u00e1nica. Implica que los datos personales del interesado se transmiten directamente de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado, siempre que ello sea t\u00e9cnicamente posible.<\/li>\n<li><strong>DERECHO A NO SER OBJETO DE DECISIONES INDIVIDUALIZADAS<\/strong>. El interesado debe tener derecho a no ser objeto de una decisi\u00f3n, que puede incluir una medida, que eval\u00fae aspectos personales relativos a \u00e9l, y que se base \u00fanicamente en el tratamiento automatizado y produzca efectos jur\u00eddicos en \u00e9l o le afecte significativamente de modo similar.<\/li>\n<li><strong>DERECHO A LA LIMITACION DEL TRATAMIENTO<\/strong>: Solicitar al responsable que suspenda el tratamiento de datos cuando:<\/li>\n<li>Se impugne la exactitud de los datos, mientras se verifica dicha exactitud por el responsable.<\/li>\n<li>El interesado ha ejercitado su derecho de oposici\u00f3n al tratamiento de datos, mientras se verifica si los motivos leg\u00edtimos del responsable prevalecen sobre el interesado.<\/li>\n<li>el tratamiento sea il\u00edcito y el interesado se oponga a la supresi\u00f3n de los datos personales y solicite en su lugar la limitaci\u00f3n de su uso;<\/li>\n<li>el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulaci\u00f3n, el ejercicio o la defensa de reclamaciones<\/li>\n<\/ul>\n<p>6- REGISTRO<\/p>\n<p>El reglamento exige la obligaci\u00f3n de registrar documentalmente las operaciones de tratamiento, tanto por parte de los Responsables de Fichero como por los Encargados de Tratamiento.<\/p>\n<p>7.- \u00bfQU\u00c9 P\u00c1GINAS WEB DEBEN SOLICITAR UN CONSENTIMIENTO?<\/p>\n<p>Cualquier p\u00e1gina web o tienda online que recoja datos personales a trav\u00e9s de formularios (de contacto, de suscripci\u00f3n o de solicitud de presupuesto) debe solicitar el consentimiento de los usuarios para poder tratar sus datos.<\/p>\n<p>8.- \u00bfPUEDO ENVIAR COMUNICACIONES COMERCIALES A CLIENTES SIN CONSENTIMIENTO?<\/p>\n<p>Se permite el env\u00edo de mensajes publicitarios o comerciales por correo electr\u00f3nico a aquellos usuarios que previamente lo hubieran solicitado o autorizado de forma expresa. Tambi\u00e9n se admite el env\u00edo de comunicaciones comerciales a aquellos usuarios con los que exista una relaci\u00f3n contractual previa, en cuyo caso el proveedor podr\u00e1 enviar publicidad sobre productos o servicios similares a los contratados por el cliente.<\/p>\n<p>Para m\u00e1s informaci\u00f3n, puede consultar tambi\u00e9n la p\u00e1gina Web de la AEPD:<\/p>\n<p><a href=\"http:\/\/www.agpd.es\/portalwebAGPD\/temas\/reglamento\/index-ides-idphp.php\" target=\"_blank\" rel=\"noopener\">http:\/\/www.agpd.es\/portalwebAGPD\/temas\/reglamento\/index-ides-idphp.php<\/a><\/p>\n<p>Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaraci\u00f3n que puedan tener al respecto.<\/p>\n<p>Para descargarse el texto de la publicaci\u00f3n,<a href=\"https:\/\/www.csfconsulting.es\/wp-content\/uploads\/Cuenta-atr\u00e1s-para-la-adaptaci\u00f3n-al-nuevo-Reglamento-General-de-Protecci\u00f3n-de-Datos-267.pdf\" target=\"_blank\" rel=\"noopener\"> pulse aqu\u00ed.<\/a><\/p>\n<p><strong>CSF Consulting Abogados y Economistas,<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>A partir del pr\u00f3ximo 25 de mayo de 2018 entra en vigor el\u00a0 nuevo Reglamento Europeo General de Protecci\u00f3n de Datos (RGPD). Queda, adem\u00e1s, pendiente la aprobaci\u00f3n de la nueva Ley Org\u00e1nica de Protecci\u00f3n de Datos, que se encuentra actualmente en tramitaci\u00f3n parlamentaria y que muy probablemente no estar\u00e1 lista para el pr\u00f3ximo 25 de&hellip;<\/p>\n","protected":false},"author":2,"featured_media":10653,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[113],"class_list":["post-12655","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","tag-mercantil","category-1","description-off"],"_links":{"self":[{"href":"https:\/\/www.csfconsulting.es\/fr\/wp-json\/wp\/v2\/posts\/12655","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.csfconsulting.es\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.csfconsulting.es\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.csfconsulting.es\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.csfconsulting.es\/fr\/wp-json\/wp\/v2\/comments?post=12655"}],"version-history":[{"count":0,"href":"https:\/\/www.csfconsulting.es\/fr\/wp-json\/wp\/v2\/posts\/12655\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.csfconsulting.es\/fr\/wp-json\/wp\/v2\/media\/10653"}],"wp:attachment":[{"href":"https:\/\/www.csfconsulting.es\/fr\/wp-json\/wp\/v2\/media?parent=12655"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.csfconsulting.es\/fr\/wp-json\/wp\/v2\/categories?post=12655"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.csfconsulting.es\/fr\/wp-json\/wp\/v2\/tags?post=12655"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}