Claves para el cumplimiento del GDPR: ¿Está tu negocio preparado para la nueva legislación de protección de datos? | Parte II

10 claves para el cumplimiento del GDPR

1. «El consentimiento, aceptación afirmativa»

Este principio cambia, ahora el consentimiento debe ser una manifestación que conlleve una aceptación inequívoca del usuario, ya sea mediante una declaración o a través de una acción afirmativa. El silencio, no se considera ya positivo, el consentimiento tácito desaparece. Asimismo, las casillas premarcadas bajo ningún concepto serán formas válidas de obtención de consentimiento.

2. «Privacidad desde el diseño y por defecto»

Desde el planteamiento inicial de un proyecto se debe pensar si éste tienen implicaciones en materia de protección de datos. Detección temprana de posibles tratamientos que impacten sobre los datos de carácter personal. Visión conjunta y acciones coordinadas entre áreas jurídicas, organizativas, de negocio e IT.

3. «Análisis del Riesgo»

Nace la obligación de realizar Evaluaciones de Impacto en materia de protección de datos». Desaparecerán los niveles de seguridad actualmente conocidos (básico, medio y alto). Ahora las medidas irán según el resultado de las evaluaciones, en función del riesgo a gestionar, que obligará a implantar mecanismos y procedimientos para proteger los datos.

4. «Registro de las actividades de tratamiento»

Con el GDPR no será necesario inscribir ficheros en el Registro General de Protección de Datos, por el contrario, las organizaciones deberán disponer de un registro interno de los distintos tratamientos de datos personales que llevan a cabo.

5. «Notificación de una violación de la seguridad»

Se deberán notificar a las autoridades de protección de datos, en el caso de España a la Agencia Española de Protección de Datos, las brechas de seguridad, en un plazo máximo de setena 72 horas.

 6. «Nuevos derechos para los interesados»

Seguirá la obligación de atender los derechos que ya conocemos, el acceso, la rectificación, la cancelación ,que ahora se denomina supresión, la oposición; a los que se añaden dos nuevos, el de la limitación del tratamiento y la portabilidad de los datos. El responsable del tratamiento está obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes desde la recepción de la misma.

7. «Delegado de protección de datos»

Será obligado disponer de un DPO cuando el tratamiento lo realice una autoridad u organismo público (excepto juzgados y tribunales); Cuando el tratamiento requiera la observación habitual y sistemática de datos a gran escala; Cuando el tratamiento tenga por objeto categorías especiales de datos personales. Fuera de los supuestos enumerados por las Ley, queda al arbitrio del responsable contar con un DPO.

8. «Mayor nivel de información y transparencia»

A la identidad del responsable, los fines de tratamiento y la información sobre el ejercicio de derechos, se sumarán los datos de contacto del delegado de protección de datos, los intereses legítimos del responsable o de un tercero; en su caso, la intención de transferir datos personales, el plazo durante el cual se conservarán los datos personales, la existencia de los nuevos derechos de los interesados, la existencia de decisiones automatizas, como por ejemplo, la elaboración de perfiles.

9. «Ventanilla única»

Permitirá a cualquier ciudadano presentar una reclamación ante la autoridad de protección de datos del lugar donde resida, independientemente del domicilio de la sede de la empresa denunciada.

10. «Nuevo régimen sancionador»

Incrementan sustancialmente las sanciones por incumplimiento. Multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía en casos de incumplir de los principios básicos, incluidas las condiciones para el consentimiento y tratamiento de datos especiales, derechos de los interesados y garantías para la transferencia de datos.