Reglamento General de Protección de Datos: novedades que las empresas deben conocer

Tanto empresas como particulares hemos sido testigos de las recientes modificaciones en materia de protección de datos personales, tras resultar de aplicación directa desde el 25 de mayo de 2018 el Reglamento (UE) 2016/679 de 27 de abril de 2016, más conocido como Reglamento General de Protección de Datos (en adelante, “RGPD”).

Por ALFONSO TOUZA GALIANO. LEGAL FIELD, CONSULTORES Y ABOGADOS

No obstante, los cambios en esta materia no han acabado ahí y tras el grueso de modificaciones del RGPD
se han producido otros que nuestras empresas deben conocer. En este artículo repasaremos sucintamente
las novedades del RGPD y daremos a conocer algunos de los cambios que se han incorporado con la aprobación
de la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales (en adelante, “LOPD”).

Las principales novedades del RGPD fueron las siguientes:

1) Se introduce el principio de responsabilidad proactiva, que obliga a aplicar medidas
técnicas y organizativas que demuestren que el tratamiento cumple con lo dispuesto en el RGPD.

2) Categorías especiales de datos: se incluyen a los antiguos datos especialmente
protegidos de la Ley Orgánica de Protección de Datos y además se incorporan los datos
genéticos y biométricos.

3) Obligación de obtención del consentimiento para el tratamiento de datos: se requiere
el consentimiento inequívoco del interesado, no siendo válido el tácito o por omisión.

4) Se deberá proporcionar la información de forma concisa, transparente, inteligible y de
fácil acceso, con un lenguaje claro y sencillo.

5) Se amplía el deber de información: se debe informar al interesado del período de conservación
de los datos, de la posibilidad de hacer reclamaciones, de los destinatarios o categorías
de destinatarios de los datos personales, y de la intención del responsable de transferir
datos personales a un tercer país (si la hay).

6) Nuevos derechos de los interesados:
a. Derecho de supresión, antes conocido como “derecho al olvido”:
el interesado puede obligar al responsable, en determinados casos,
a que suprima los datos personales que trate.
b. Derecho a la limitación del tratamiento: el interesado puede obtener
del responsable del tratamiento, la limitación del tratamiento de los
datos cuando se cumpla alguna de las condiciones que recoge el RGPD.
c. Derecho a la portabilidad: el interesado tiene derecho a que sus datos
personales en poder del responsable del tratamiento se transmitan a otro responsable.

7) Obligaciones que introduce el RGPD respecto del responsable del tratamiento:
a. Deber de información al interesado sobre diversos aspectos, tales como
los datos del Delegado de Protección de Datos (en adelante, “DPD”), los
fines del tratamiento, los derechos del interesado, etc…
b. Realizar un registro de las actividades del tratamiento: se deberá
realizar por escrito y únicamente será aplicable a las empresas que
tengan más de 250 trabajadores, salvo excepciones establecidas en el RGPD.
c. Realizar una evaluación de impacto de las operaciones del tratamiento:
para establecer un nivel de seguridad a aplicar al tratamiento de datos
que realice, recabando asesoramiento del DPD.
d. Comunicar las brechas de seguridad: se debe llevar a cabo en un plazo
máximo de 72 horas, comunicándose a la Agencia Española de
Protección de Datos (en adelante, “AEPD”) los datos que se han visto
afectados, las consecuencias y las soluciones implementadas para solventar el problema.

8) Obligaciones que introduce el RGPD respecto del encargado del tratamiento (importante de
cara a la externalización de funciones en esta materia):
a. Ostentar los conocimientos y experiencia necesarios para ofrecer las
garantías que exige el RGPD.
b. Concertar un contrato con el responsable para desempeñar su actividad.
El RGPD amplía el contenido que debe recogerse en este contrato.
c. Realizar un registro de las actividades del tratamiento en el mismo
sentido que el responsable del tratamiento.

9) Obligación de designar un representante del responsable o encargado del
tratamiento cuando el responsable o el encargado no esté establecido en un
Estado miembro de la UE y traten datos personales de residentes en la UE. El
representante tendrá que residir en la UE.

Continúa... Puedes leer el artículo completo (y mucho más contenido de la Revista Gestión de Compras) en el área para ASOCIADOS. Pincha aquí: REVISTA GESTIÓN DE COMPRAS

Modificado por última vez en 02/09/2019

Comparta este artículo

Sobre Aerce

AERCE es la Asociación de Profesionales de Compras, Contratación y Aprovisionamientos en España. Es una asociación de tipo profesional que tiene por finalidad estatutaria transmitir, publicar e impartir conocimientos, experiencias e informaciones y realizar investigación sobre todas las cuestiones de Compras, Contratación y Aprovisionamientos.

Últimos Artículos

Síguenos

LinkedInTwitterFacebook