Líderes en
soluciones para el CUMPLIMIENTO

Aprobada la nueva Ley Orgánica de Protección de Datos

23 de Noviembre

Esta semana el senado ha dado el visto bueno al proyecto de LOPD que adapta la normativa interna española al RGPD... >> Ver Más

 
Zona Clientes
 
User
 
Password
 
Campus e-Learning
 
 
User
 
Password
Noticias PrevenSystem
la nueva Ley Orgánica de Protección de Datos

Aprobada la nueva Ley Orgánica de Protección de Datos y de Garantía de los Derechos Digitales

 

El  Reglamento General de Protección de Datos (RGPD), entró en vigor en mayo de 2016 y es de aplicación desde mayo de 2018. En estos dos años de transición debíamos ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del RGPD.

El RGPD es una norma directamente aplicable, no requiere de normas internas de trasposición ni tampoco de normas de desarrollo o aplicación. Por ello, los responsables de tratamiento, es decir, las empresas han tenido que asumir que la norma de referencia es el RGPD y no las normas nacionales, como venía sucediendo hasta ahora con la Directiva 95/46 (ya derogada).

No obstante, la nueva ley que sustituye a la Ley Orgánica de Protección de Datos (LOPD) de 1999 sí que incluye algunas puntualidades sobre privacidad.

Nueva Ley Orgánica de Protección de Datos y de Garantía de los Derechos Digitales

Contiene nociones, principios y elementos parecidos a los establecidos en la Directiva 95/46 y por las normas nacionales que la aplican. Por ello, los responsables de tratamiento que ahora cumplen adecuadamente con la LOPD española tienen una buena base de partida para evolucionar hacia una correcta aplicación de la nueva LOPD.

Modifica algunos aspectos del régimen actual y contiene NUEVAS OBLIGACIONES que deben ser analizadas y aplicadas por cada empresa teniendo en cuenta sus propias circunstancias.

CUATRO CONCEPTOS IMPORTANTES

Por un lado, está el principio de responsabilidad proactiva.

Este principio implica la necesidad de que el responsable del tratamiento (la empresa) aplique medidas técnicas y organizativas apropiadas a fin poder demostrar que el tratamiento de datos personales es adecuado.

Requiere que las empresas:

  • Analicen qué datos personales tratan,
  • Con qué finalidades,
  • Qué tipo de operaciones de tratamiento llevan a cabo.

Y, tras conocerlo, determinen unas medidas de seguridad apropiadas. Asegurándose, de que son las adecuadas para cumplir y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión (AEPD).

Este principio reclama una actitud consciente, diligente y proactiva por parte de las empresas frente a todos los tratamientos de datos personales que lleven a cabo.

 

En segundo lugar, el enfoque de riesgo.

El RGPD señalaba que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas.

De acuerdo con este enfoque de riesgo, algunas de las medidas se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo de los tratamientos.

La aplicación de las medidas de seguridad debe adaptarse, por tanto, a las características de las empresas. Lo que puede necesitar una empresa que maneja datos de millones de clientes en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado no es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.

En este enlace podéis leer el post sobre análisis de riesgos.

 

Otro principio destacable es el de que todo tratamiento de datos necesita apoyarse en una base que lo legitime. Y, recoge las mismas bases jurídicas de la Directiva y la actual LOPD:

  • Consentimiento.
  • Relación contractual.
  • Intereses vitales del interesado o de otras personas.
  • Obligación legal para el responsable.
  • Interés público o ejercicio de poderes públicos.
  • Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.

 

En tercer lugar, hablaremos del Delegado de protección de datos, en este enlace tenéis el post donde explicamos su figura, sus funciones, y dónde viene regulado.

La actual Ley Orgánica de Protección de Datos y de Garantía de los Derechos Digitales lo regula en su artículo 34, enumerando hasta 16 tipos de entidades o empresas que precisan un DPO.

Según el citado artículo necesitarán tener un delegado de protección de datos interno o externo, las siguientes empresas:

  1. Colegios profesionales y sus consejos generales.
  2. Centros docentes de cualquier nivel.
  3. Universidades públicas y privadas.
  4. Empresas de servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.
  5. Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  6. Las entidades de ordenación, supervisión y solvencia de entidades de crédito.
  7.  Los establecimientos financieros de crédito.
  8. Empresas de seguros y reaseguradoras.
  9.  Empresas de servicios de inversión.
  10. Distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  11. Empresas responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  12. Empresas de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados.
  13. Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. (Hospital, centro de salud, clínica médica, residencia geriátrica, etc.)
  14. EXCEPTO los profesionales de la salud que ejerzan su actividad a título individual.
  15. Las entidades que emitan informes comerciales que puedan referirse a personas físicas.
  16. Empresas de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  17. Las empresas de seguridad privada.
  18. Las federaciones deportivas cuando traten datos de menores de edad.

Y, por último, han añadido un título nuevo. Un título dedicado a los “derechos digitales”. Cabe destacar el reconocimiento del derecho a la desconexión digital en el marco del derecho a la intimidad en el uso de los dispositivos digitales en el ámbito laboral, el derecho de acceso universal a Internet, así como el derecho al testamento digital.

Además, también modifica la Ley Orgánica del Régimen Electoral General en su artículo 58 bis, un tratamiento especial a los partidos políticos, que quedan legitimados para a recoger datos sobre opiniones políticas de los ciudadanos "obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral".

Desde PREVENSYSTEM, os animamos para que profundicéis en la materia de protección de datos y empecéis a gestionar los datos personales.

En nuestra web encontraréis toda la información sobre los productos de formación de LOPD disponibles y también el área de consultoría LOPD

Solicita más información

En cumplimiento de la normativa de protección de datos, en particular del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, le informamos que los datos personales que usted nos facilita a través del presente formulario, serán utilizados por PS Formación S.L (PREVENSYSTEM), para tramitar su solicitud de información respecto al asunto indicado.

Los datos personales marcados con (*) son imprescindibles para tramitar su solicitud, siendo el resto opcionales, y orientados a mejorar las vías de comunicación con los interesados. PREVENSYSTEM únicamente comunicará sus datos a las oficinas (pertenecientes a su red de oficinas) necesarias o relacionadas con el servicio solicitado, no realizando ninguna otra comunicación, más allá de las obligaciones legales que puedan derivarse del tratamiento. Asimismo, ni PREVENSYSTEM ni las oficinas de su red implicadas, utilizará sus datos con finalidades distintas a las indicadas, salvo autorización expresa y previa del titular de los mismos. Los datos personales serán tratados únicamente durante el tiempo necesario para tramitar su candidatura, tras lo cual se procederá a su supresión. Le informamos sobre la posibilidad de ejercer los derechos de acceso, rectificación, supresión, portabilidad y limitación del tratamiento, en los términos previstos en la ley, que podrá ejercitar dirigiéndose a PS Formación S.L (PREVENSYSTEM), en Calle Santa Lucía, Nº 19, Planta 2, 33206 Gijón, o a través de la dirección de correo electrónico info@prevensystem.com. Además, en caso de que usted nos autorice expresamente, PREVENSYSTEM podrá utilizar sus datos de contacto para el envío de Newsletter, comunicaciones, notificaciones y, en general, información sobre nuestros productos y servicios que puedan resultar de su interés. Para obtener más información sobre el uso de los datos de carácter personal, así como sobre el cumplimiento de los principios, requisitos y derechos recogidos de la normativa de protección de datos, PREVENSYSTEM pone a disposición de los interesados, a través de su página web, su política de privacidad.

 


World Compliance AssociationSTAREGISTERMicrosoftHiscoxEmpresa colaboradora Un Reto Social EmpresarialRecomendados por AEPSALEstrategia de emprendimiento y empleo jovenMiembros firmantes del Pacto de LuxemburgoMiembros de AENOAUniversidad de San JorgeIntedya

Esta web utiliza cookies para obtener datos estadísticos de la navegación de sus usuarios.
Si continúas navegando consideramos que aceptas su uso. Más información X Cerrar