DATA SECURITY
 

Notas sobre las implicaciones prácticas del GDPR durante el periodo de transición

 

05/07/2016 | FS CONSULTORES SL| NEWS - GDPR - Normativa
 
La AEPD,  en su nota de prensa “Implicaciones prácticas del   Reglamento General de Protección de Datos para entidades en el periodo de transición”, recomienda a las empresas que vayan adaptando sus procesos al nuevo Reglamento de protección de datos  (GDPR) para afrontar el momento en el que el Reglamento sea  aplicable:


 





1. Consentimiento explícito

El nuevo Reglamento solo permite el consentimiento explícito del interesado para realizar un tratamiento, excluyendo el hasta ahora permitido consentimiento tácito, por lo que,  según la AEPD los consentimientos tácitos “sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando los criterios fijados por el propio Reglamento”, o sea que no va a cumplir ninguno.

La AEPD aconseja empezar ya a revisar los tratamientos que se basen en este tipo de consentimiento para adecuarlos al Reglamento, ya que a partir de la aplicación definitiva del GDPR, el 25 de mayo de 2018, “sólo tendrán legitimación suficiente los tratamientos basados en el consentimiento inequívoco, con independencia de cuándo se haya obtenido ese consentimiento”.

Recordar que los tratamientos efectuados por una obligación legal del Responsable del tratamiento (por ejemplo la emisión de una factura) no precisan de consentimiento explícito.

Para más información sobre el consentimiento, consultar el artículo de este mismo web: El consentimiento explícito en el GDPR
 

2. Información del tratamiento al interesado

La AEPD aconseja a las empresas que “adapten sus políticas informativas a lo dispuesto por el Reglamento incorporando sin dilación las cuestiones adicionales que actualmente no son requeridas por la normativa española a las informaciones que se proporcionan a los interesados”.

En este sentido, el Reglamento dispone que se debe informar:  
Para más información, consultar el artículo de este mismo web: La información del tratamiento en el GDPR
 

3. Evaluaciones de impacto sobre la protección de datos

Las evaluaciones de impacto deberán realizarse cuando sea probable que exista un alto riesgo para los derechos y libertades de los interesados con el objetivo de minimizar dichos riesgos. La AEPD “considera que no debería esperarse a la fecha en que la realización de las evaluaciones resulte obligatoria para comenzar a utilizar esta herramienta, ya que requiere de preparación, elección de la metodología adecuada, identificación de los equipos de trabajo y otra serie de condiciones que no pueden improvisarse”.

Aunque la AEPD podrá establecer una lista de los tipos de tratamiento que requieren una evaluación de impacto, mientras esto no suceda, las empresas que realicen tratamientos que traten una cantidad considerable de datos personales que afecten a un gran número de ciudadanos (a gran escala) o que prevean un alto riesgo, ya deberían proceder a analizar dichos riesgos y proceder a realizar una evaluación de impacto.

Una evaluación de impacto debe analizar la necesidad y proporcionalidad del tratamiento con respecto a su finalidad, los riesgos para los derechos y libertades de los interesados, los mecanismos destinados a garantizar la protección de datos y las medidas de seguridad previstas para afrontar los riesgos del tratamiento desde el diseño y por defecto en cualquier fase del tratamiento.
 

4. Certificación

Aunque en el artículo de la AEPD se habla de que “el Reglamento concede una atención especial a la implantación de esquemas de certificación”, la verdad es que por ahora estos mecanismos de certificación no existen y no se podrán solicitar hasta que las Autoridades competentes en protección de datos los hayan establecido.

La obtención de un  Certificado, Sello o Marcado de Protección de Datos por parte del Responsable o Encargado del tratamiento podrá garantizar el cumplimiento del Reglamento durante un período máximo de 3 años y podrá ser renovado si se siguen cumpliendo los requisitos exigidos por el organismo acreditado que lo suministre.
 

5. Delegados de Protección de Datos. Certificación

La AEPD “considera que no es oportuno establecer un sistema de certificación de Delegados de Protección de Datos que opere como requisito para el acceso a la profesión” y está en fase de valorar la posibilidad de promover la acreditación de entidades de certificación de DPO.

A parte de esta acreditación, que si se establece será muy útil para el sector,  destacamos que el Responsable o Encargado del tratamiento solo tendrán la obligación de designar un DPO cuando su actividad principal contemple tratamientos a gran escala de observación habitual y sistemática de interesados, categorías especiales de datos o datos relativos a condenas e infracciones penales.
 
Para más información sobre DPO, consultar el artículo de este mismo web: Obligación de designar un DPO
 

6. Relación entre Responsables y Encargados

La AEPD recomienda que se deberían revisar “los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, de forma que en mayo de 2018 sean compatibles con las disposiciones del Reglamento” e “incluir en las nuevas cláusulas contractuales todos los elementos que el Reglamento considera necesarios”.

En este sentido, será imprescindible diseñar un nuevo tipo de contrato que contemple las disposiciones que el GDPR obliga a detallar en el mismo:
 

7. Herramientas para pymes y herramientas sectoriales

Buena labor la de la AEPD que está trabajando “en la preparación de herramientas que ayuden a Responsables y Encargados al entendimiento y cumplimiento del Reglamento”.

Conclusiones

Aunque la AEPD va realizando escritos de vez en cuando sobre cómo adaptarnos al nuevo Reglamento, se echa en falta más concreción sobre cada asunto tratado.

En este blog de FS CONSULTORES, se irán tratando las disposiciones del GDRP en toda su extensión y complejidad para un buen razonamiento de aplicación del nuevo Reglamento.
 
 
 


Josep Aragonés Salvat


Esta web utiliza la cookie _ga propiedad de Google Analytics, persistente durante 2 años, para habilitar la función de control de visitas únicas con el fin de facilitarle su navegación por el sitio web.
Si continúa navegando consideramos que está de acuerdo con su uso. Podrá revocar el consentimiento y obtener más información consultando nuestra Política de cookies

Acepto