COMPROMISO EDUCATIVO Y SOCIAL

El RGPD es una norma directamente aplicable, que no requiere de normas internas de transposición ni tampoco, en la mayoría de los casos, de normas de desarrollo o aplicación. Por ello, los responsables deberán saber que la norma de referencia es el RGPD.

Las organizaciones que en la actualidad cumplen adecuadamente con la LOPD española tienen una buena base de partida para evolucionar hacia una correcta aplicación del nuevo Reglamento. Sin embargo, el RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.

Dos elementos de carácter general constituyen la mayor innovación del RGPD para los responsables y se proyectan sobre todas las organizaciones:

El principio de responsabilidad proactiva, que implica que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.

La evaluación del riesgo: la aplicación de las medidas previstas por el RGPD debe adaptarse a las características de las organizaciones. Lo que puede ser adecuado para una organización que trabaja con datos de millones de interesados ​​en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado, no lo será para una pequeña entidad que lleva a cabo un volumen limitado de tratamiento de datos no sensibles.

Para cumplir con estos conceptos el Reglamento establece las siguientes novedades:

Nuevas categorías especiales de datos: aparte de los datos especialmente protegidos que ya preveía la LOPD, que ahora pasan a denominarse "categorías especiales de datos", el Reglamento incluye dos nuevas categorías especiales de datos:

• Datos genéticos: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionan una información única sobre la fisiología o la salud de esta persona, obtenidos en particular del análisis de una muestra biológica.
• Datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de esta persona (imágenes faciales, datos dactiloscópicos, etc.).

Consentimiento: éste debe ser inequívoco. Además, deberá ser expresado en aquellos supuestos en los que se traten datos sensibles, sean decisiones automatizadas o se produzca transferencia internacional de los datos. Podrá ser implícito cuando el titular de los datos se interese e interactúe con la entidad (ej. Navegar por su página web y aceptar las "cookies").

Ficheros: desaparece la obligación de inscripción en la Agencia de Protección de datos (vigente hasta ahora) y se sustituye por la elaboración de un registro de "actividades de tratamiento", que contendrá necesariamente:

• Nombre y datos del responsable (y del delegado de protección de datos si fuera necesario nombrarlo);
• Finalidades del tratamiento;
• Descripción de categorías de interesados ​​y de datos tratados;
• Transferencias internacionales de datos.

Excepto las entidades de menos de 250 empleados que no están obligadas a llevar este registro.

Encargado y responsable del tratamiento: aunque el responsable del tratamiento sigue asumiendo la responsabilidad del mismo, los encargados adquieren obligaciones específicas. Por ello, los responsables deberán elegir a encargados del tratamiento que garanticen el cumplimiento de las normas recogidas en el RGDP.

Medidas de seguridad: el RGPD no establece una lista de medidas como si recogía la normativa nacional hasta ahora, sino que deberá adaptarse a cada situación concreta en función del riesgo.

En caso de identificar una brecha de seguridad, es obligatorio comunicarlo a la Agencia Española de Protección de Datos. En algunos supuestos, también habrá que comunicarla a los interesados.

Análisis de riesgo y evaluación del impacto: para valorar el riesgo deberá atenderse a los siguientes criterios: (i) tipo de tratamiento; (ii) naturaleza de los datos; (iii) número de interesados ​​afectados; (iv) cantidad y variedad de tratamientos. Al evaluar el impacto será necesario identificar si el tratamiento de los datos tiene un alto riesgo para los derechos y libertades de los interesados.

Delegado de protección de datos (DPO): se configura como el punto de unión entre los interesados ​​y el tratamiento de sus datos. Será obligatorio en los siguientes supuestos:

• Autoridades y organismos públicos;
• Cuando, entre las actividades principales del responsable o del encargado, se encuentren las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados ​​a gran escala;
• Cuando, entre las actividades principales del responsable o del encargado, se encuentre el tratamiento a gran escala de datos sensibles.

El DPO, que podrá ser o no parte de la estructura interna de la organización, deberá tener la calificación y autonomía suficientes para poder desarrollar sus funciones. Asimismo, el encargado o responsable está obligado a facilitarle todos los recursos necesarios para el cumplimiento de sus obligaciones en el ejercicio de su cargo.

Así pues, si su entidad trabaja con datos personales, deberá obligatoriamente integrar en su flujo de trabajo, al desarrollar sus rutinas laborales con datos personales, los mandatos recogidos en el RGPD. En caso contrario se estaría infringiendo el derecho europeo.

Es por este motivo que desde la Fundación Pere Tarrés desarrollaremos diferentes ediciones del curso de Protección de Datos: la nueva normativa europea, tanto en modalidad presencial como online.