El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor el pasado 25 de mayo y pasará a ser de obligado cumplimiento a partir de mayo de 2018. Este margen de dos años es crucial para que las entidades preparen la transición y se vayan adaptando poco a poco a los nuevos requerimientos.
La AEPD ha publicado esta semana una guía con una lista de las distintas implicaciones prácticas que pueden traer problemas a las entidades a la hora de adaptarse a la nueva normativa. La agencia advierte de que el nuevo reglamento supone un nuevo modo de trabajar para las entidades y que éstas deben prepararse cuanto antes para afrontar el momento en el que el reglamento sea aplicable.
¿Cuáles son las principales dificultades de adaptación que trae el RGPD?
Consentimiento: será necesaria una “manifestación inequívoca o una clara acción afirmativa” para que el consentimiento cumpla con los requerimientos del nuevo reglamento. El consentimiento tácito no es válido y todos los consentimientos que no cumplan con la nueva normativa dejarán de ser válidos cuando entre en vigor el RGPD.
Información: las cláusula de información al usuario requieren datos adicionales que actualmente no son necesarios. Se aconseja empezar a adaptar estas cláusulas de antemano.
Evaluaciones de impacto sobre la protección de datos: se trata de estudios de impacto que se realizan antes de iniciar el tratamiento de datos con el objetivo de minimizar los riesgos que podría suponer para el ciudadano. Las entidades que decidan adelantare a la aplicación de la nueva normativa y empiecen a realiazar sus propios estudios de impacto tendrán la ventaja de contar con una mayor experiencia, una metodología perfeccionada y un personal formado.
Certificación de los Delegados de Protección de Datos: el RGPD no establece unas cualificaciones específicas para la figura del Delegado de Protección de Datos aunque si apunta que deber ser “nombrados en función de sus cualificaciones profesionales, en especial su conocimiento en materia de protección de datos, y su capacidad para el desempeño de sus funciones”. La Agencia apunta a que se podrán crear certificaciones en el futuro pero que en ningún caso serían la vía exclusiva de acceso al puesto de Delegado de Protección de datos sino que servirían como apoyo a las entidades a la hora de realizar la selección.
Relación entre responsables y encargados: la AEPD aconseja revisar los contratos de encargo de tratamiento existentes entre entidades y prestadores de servicios que tengan acceso a ficheros de datos de forma que éstos ya cumplan con los requisitos del nuevo reglamento antes de mayo de 2018. Además de eso aconseja que todos los nuevos contratos de prestación de servicios que incluyan tratamiento de datos por parte de teceras partes incluyan ya las nuevas cláusulas contractuales que contempla el RGPD.
Enlaces relacionados:
Implicaciones prácticas del Reglamento General de Protección de Datos para entidades en el periodo de transición (AEPD)
https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2016/notas_prensa/news/2016_06_29_03-ides-idphp.php
