Carpeta de justicia

LawAndTrends



En una jornada referente a la nueva regulación europea en materia de protección de datos (RGPD) que entró en vigor el pasado 25 de mayo, el despacho de abogados, economistas y graduados sociales Escura ha recordado que la nueva RGPD sólo se aplica a datos personales de personas físicas y no de personas jurídicas y que no contempla el ámbito doméstico ni las redes sociales.

El despacho de abogados, economistas y graduados sociales Escura organizó ayer una jornada referente a la nueva regulación europea en materia de protección de datos impartida por el socio director de Escura Fernando Escura y los abogados del Departamento de Nuevas Tecnologías y Protección de Datos de Escura Josep M. Barcelona y Víctor Jiménez.

En la jornada se recordó que el Reglamento General de Protección de Datos (RGPD) es común para toda Europa y que entró en vigor el 25 de mayo de 2018. También se subrayó que próximamente se prebé la aprobación del Proyecto de Ley Orgánica que respeta en todo momento el RGPD y clarifica su contenido y que sustituirá la Ley Orgánica de Protección de Datos actual. El cambio más importante de la RGPD tiene que ver con el consentimiento, ya que en la LOPD había un consentimiento tácito y con la RGPD se requiere de un consentimiento expreso. En este sentido es importante recordar que no es necesario volver a pedir el consentimiento si conforme a la antigua normativa éste ya era válido.

Además se explicó que el responsable del tratamiento de los datos es la empresa y el encargado del tratamiento es el proveedor externo a quién se cede este tratamiento vía contrato, mientras que la figura del delegado de protección de datos es obligada sólo para las empresas que traten con datos de especial nivel de protección como salud, ideología, orientación sexual o datos genéticos y biométricos, a gran escala.

Por otro lado se recalcó que las sanciones de la nueva RGPD pueden llegar hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior.

En la nueva RPGD desaparece la obligación de inscripción pública de ficheros a la Agencia Española de Protección de Datos y se crea un registro interno de actividades, mientras que se pasa de una regulación externa a una autoregulación con medidas de seguridad propias de la empresa.

Los responsables de Escura resaltaron que en la nueva RPGD se añaden tres nuevos derechos sumados a los ya existentes: el de portabilidad, limitación del tratamiento y olvido. Además se establece la obligación de facilitar los medios para ejercer estos derechos.

En relación al ámbito de aplicación del RGPD, es importante tener en cuenta que sólo se aplica a datos personales de personas físicas y no de personas jurídicas y que no contempla el ámbito personal o doméstico ni tampoco las redes sociales. En el caso de los autónomos, se requiere del consentimiento expreso cuando la información que se envía no tiene que ver con su actividad profesional.

En la jornada se explicó que el procedimiento de implantación de la nueva normativa de protección de datos se organiza en distintas fases. En la primera se tiene en cuenta la actualización de la web y los avisos de cookies, la elaboración de una memoria y contratos de tratamiento, la protección de los emails, el envío de un manual del empleado y la revisión de las cámaras de seguridad. En una segunda fase se debe definir un organigrama de niveles de accesos, subir los documentos del cliente al gestor documental web y entregar una carta de claves al cliente. Y en la tercera fase se hace un test de intrusión con una empresa externa y se realiza una auditoría de protección de datos.

Seguidamente se repasó cuál es la documentación básica que debe tener una empresa: formularios de derechos de información, normativa interna de protección de datos, registro de actividades de tratamiento, análisis de riegos y medidas de seguridad, notificación de quiebras de seguridad, evaluación de impacto, ejercicio de derechos de los interesados, contratos encargados del tratamiento y el contrato del delegado de protección de datos en caso de que la empresa esté obligada a tenerlo.

También se aconsejó a los asistentes generar contenidos, tener en cuenta la ley que regula el spam y que no es la misma que regula la protección de datos, ofrecer a los destinatarios un mecanismo para revocar el consentimiento previo y darse de baja de forma automática y no mandar nunca correos multirremitente sin copia oculta.

Finalmente se explicó que el RGPD reconoce un “interés legítimo” siempre que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales. El mismo implica realizar un juicio de valor o ponderación entre el interés legítimo y los derechos y libertades fundamentales del interesado en el caso de las comunicaciones publicitarias a una persona física que no es cliente o en las comunicaciones publicitarias a una persona de contacto de una persona jurídica que no es cliente, ya que en este último caso se podría caer en spam.

 




No hay comentarios.


Hacer un comentario

He leido y acepto los términos legales y la política de privacidad