Especial RGPD
La cuenta atrás ha terminado. Desde el 25 de mayo de 2018 es de obligado cumplimiento el Reglamento General de Protección de Datos de la Unión Europea (RGPD). Es necesario adoptar decisiones necesarias para estar en situación de cumplimiento. El riesgo de no hacerlo es el de posibles sanciones pero también, de tipo reputacional. La evolución del negocio en la senda de la transformación digital hace de este reto una necesidad imperativa.
Organizamos diferentes eventos con ponentes especialistas que facilitarán una aproximación al nuevo entorno regulatorio desde diversas perspectivas, con los hitos principales:
Radiografía del reglamento: resolviendo el puzzle
Conceptos clave
¿Qué es el RGPD?
- El Reglamento General de Protección de Datos de la Unión Europea, norma de aplicación directa en todos los estados miembro de la UE, obligatorio a partir del 25 de mayo de 2018 y sustituye a todas las leyes nacionales anteriores, así como a cualquier norma sectorial que contenga regulación sobre la protección de los datos personales.
Delegado de Protección de Datos (DPD)
- Es una nueva figura introducida por el RGPD, cuya función es supervisar y asesorar a la empresa en materia de cumplimiento de la normativa de protección de datos. Puede ser interno o externo. Debe tener conocimientos profundos en derecho de protección de datos, experiencia y conocimiento del sector de actividad. Puede compatibilizar la función con otras, siempre que no tenga conflicto de interés y disponga de tiempo suficiente para cumplir las funciones de DPD.
Registro de actividades de tratamiento
- Es el documento central de un programa de cumplimiento del RGPD. Es obligatorio para empresas con más de 250 trabajadores, o que traten datos de forma no ocasional, o que traten datos sensibles. Contiene el detalle específico de todas las actividades de la empresa que implican el tratamiento de datos personales.
Bases legales
- Son la vía que nos permite el RGPD para tratar datos personales, todas ellas igualmente válidas. Las más importantes son el consentimiento (clara acción afirmativa); la ejecución de un contrato; el cumplimiento de obligaciones legales; la protección de intereses vitales del interesado u otros; el cumplimiento de misión en interés público; el interés legítimo del responsable del tratamiento.
Consentimiento
- Una de las bases legales para el tratamiento de datos personales. Debe consistir en una clara acción afirmativa del interesado. No son válidos los consentimientos tácitos o por inacción. Cuando se recaba el consentimiento se debe informar de forma clara, transparente y específica, entre otras cosas, de la finalidad para la que se recaba el dato, del plazo de duración del tratamiento y de los derechos de que dispone el interesado.
Interés legítimo
- Una de las bases legales para el tratamiento de datos personales. Se puede utilizar esta base legal tras hacer una ponderación entre el interés del responsable del tratamiento o de un tercero y los derechos fundamentales del interesado, teniendo en cuenta la relación existente entre ambos y la expectativa del interesado de que su dato se vaya a tratar para la finalidad especifica. Es necesario informar al interesado previamente y ofrecerle el derecho de oposición.
Conceptos clave
Autoridad de control
- Es la autoridad administrativa nacional en cada estado miembro de la UE en materia de protección de datos personales. Sus funciones son, entre otras, las de supervisar el cumplimiento del RGPD por parte de los responsables y encargados del tratamiento, la realización de inspecciones, la potestad sancionadora, la emisión de apercibimientos, requerimientos y órdenes, o la validación de normas corporativas vinculantes para transferencias internacionales de datos.
Transferencias internacionales
- Se producen cuando los datos personales tratados por una empresa son enviados hacia fuera del territorio de la Unión Europea. En estos casos, es preciso asegurarse de que los datos van a estar protegidos del mismo modo que lo están dentro de la UE. Esa garantía se puede obtener por diversas vías: mediante la declaración por parte de la Comisión Europea, mediante la firma de cláusulas contractuales tipo aprobadas a nivel europeo o mediante la utilización de normas corporativas vinculantes validadas por una autoridad de control.
Normas corporativas vinculantes
- Es un acuerdo de carácter obligatorio y vinculante que sirve de base para la realización de transferencias internacionales de datos personales. Su contenido está regulado en el RGPD y debe ser validado por una autoridad de control.
Evaluación de impacto de privacidad
- Es un análisis específico que se debe llevar a cabo siempre que existan tratamientos con un alto riesgo para los derechos de los interesados.
Responsabilidad y sanciones
- Las autoridades de control tienen diversas facultades para aplicar en caso de incumplimiento, tales como apercibimientos, requerimientos u órdenes. Pero la facultad más importante es la de imponer sanciones y multas. Las multas pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual global del infractor. La autoridad de control puede actuar de oficio o por denuncia de interesados.
28-07-2020
La actualización responde a la necesidad de atender a las nuevas directrices del Comité Europeo de Protección de Datos e implica que las empresas deberán modificar sus políticas de cookies e introducir una herramienta de gestión de cookies.
16-07-2020
El Escudo de Privacidad es el marco que permitía las transferencias internacionales de datos entre Europa y Estados Unidos; su anulación provocará un caos en las relaciones comerciales entre la UE y el país norteamericano.
30-06-2020
Artículo de José Miguel de la Calle, socio del Departamento Administrativo de Garrigues en Bogotá ('Asuntos Legales').
08-11-2019
La Agencia Española de Protección de Datos (AEPD), en colaboración con Adigital, Autocontrol, IAB Spain y la AEA, ha publicado la esperada Guía sobre el uso de las cookies en la que se trata de clarificar las principales obligaciones que deberán tener en cuenta los editores de páginas webs.
26-06-2019
Desde fechas recientes, las empresas y entidades están obligadas a implantar o ya han implantado un sistema de registro de la jornada laboral para cumplir con la obligación establecida por el Real Decreto de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo.
13-06-2019
El Ministerio de Salud y Protección Social, mediante el concepto de fecha 20 de febrero de 2019, estableció que, debido al carácter privado y a la reserva de la que goza la historia clínica, no procede que las entidades promotoras de salud (EPS) exijan a los empleadores, o que los empleadores exijan a su vez a los trabajadores, copia de la historia clínica para efectos de tramitar incapacidades.