Zona Clientes
User
Password
Campus e-Learning
User
Password
  • Zona Clientes
  • Campus E-Learning
Noticias  /  Aprobada la nueva Ley Orgánica de Protección de Datos

Aprobada la nueva Ley Orgánica de Protección de Datos

Esta semana el senado ha dado el visto bueno al proyecto de LOPD que adapta la normativa interna española al RGPD

23/11/2018

Aprobada la nueva Ley Orgánica de Protección de Datos y de Garantía de los Derechos Digitales

 

El  Reglamento General de Protección de Datos (RGPD), entró en vigor en mayo de 2016 y es de aplicación desde mayo de 2018. En estos dos años de transición debíamos ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del RGPD.

El RGPD es una norma directamente aplicable, no requiere de normas internas de trasposición ni tampoco de normas de desarrollo o aplicación. Por ello, los responsables de tratamiento, es decir, las empresas han tenido que asumir que la norma de referencia es el RGPD y no las normas nacionales, como venía sucediendo hasta ahora con la Directiva 95/46 (ya derogada).

No obstante, la nueva ley que sustituye a la Ley Orgánica de Protección de Datos (LOPD) de 1999 sí que incluye algunas puntualidades sobre privacidad.

Nueva Ley Orgánica de Protección de Datos y de Garantía de los Derechos Digitales

Contiene nociones, principios y elementos parecidos a los establecidos en la Directiva 95/46 y por las normas nacionales que la aplican. Por ello, los responsables de tratamiento que ahora cumplen adecuadamente con la LOPD española tienen una buena base de partida para evolucionar hacia una correcta aplicación de la nueva LOPD.

Modifica algunos aspectos del régimen actual y contiene NUEVAS OBLIGACIONES que deben ser analizadas y aplicadas por cada empresa teniendo en cuenta sus propias circunstancias.

CUATRO CONCEPTOS IMPORTANTES

Por un lado, está el principio de responsabilidad proactiva.

Este principio implica la necesidad de que el responsable del tratamiento (la empresa) aplique medidas técnicas y organizativas apropiadas a fin poder demostrar que el tratamiento de datos personales es adecuado.

Requiere que las empresas:

Y, tras conocerlo, determinen unas medidas de seguridad apropiadas. Asegurándose, de que son las adecuadas para cumplir y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión (AEPD).

Este principio reclama una actitud consciente, diligente y proactiva por parte de las empresas frente a todos los tratamientos de datos personales que lleven a cabo.

 

En segundo lugar, el enfoque de riesgo.

El RGPD señalaba que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas.

De acuerdo con este enfoque de riesgo, algunas de las medidas se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo de los tratamientos.

La aplicación de las medidas de seguridad debe adaptarse, por tanto, a las características de las empresas. Lo que puede necesitar una empresa que maneja datos de millones de clientes en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado no es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.

En este enlace podéis leer el post sobre análisis de riesgos.

 

Otro principio destacable es el de que todo tratamiento de datos necesita apoyarse en una base que lo legitime. Y, recoge las mismas bases jurídicas de la Directiva y la actual LOPD:

 

En tercer lugar, hablaremos del Delegado de protección de datos, en este enlace tenéis el post donde explicamos su figura, sus funciones, y dónde viene regulado.

La actual Ley Orgánica de Protección de Datos y de Garantía de los Derechos Digitales lo regula en su artículo 34, enumerando hasta 16 tipos de entidades o empresas que precisan un DPO.

Según el citado artículo necesitarán tener un delegado de protección de datos interno o externo, las siguientes empresas:

  1. Colegios profesionales y sus consejos generales.
  2. Centros docentes de cualquier nivel.
  3. Universidades públicas y privadas.
  4. Empresas de servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.
  5. Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  6. Las entidades de ordenación, supervisión y solvencia de entidades de crédito.
  7.  Los establecimientos financieros de crédito.
  8. Empresas de seguros y reaseguradoras.
  9.  Empresas de servicios de inversión.
  10. Distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  11. Empresas responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  12. Empresas de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados.
  13. Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. (Hospital, centro de salud, clínica médica, residencia geriátrica, etc.)
  14. EXCEPTO los profesionales de la salud que ejerzan su actividad a título individual.
  15. Las entidades que emitan informes comerciales que puedan referirse a personas físicas.
  16. Empresas de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  17. Las empresas de seguridad privada.
  18. Las federaciones deportivas cuando traten datos de menores de edad.

Y, por último, han añadido un título nuevo. Un título dedicado a los “derechos digitales”. Cabe destacar el reconocimiento del derecho a la desconexión digital en el marco del derecho a la intimidad en el uso de los dispositivos digitales en el ámbito laboral, el derecho de acceso universal a Internet, así como el derecho al testamento digital.

Además, también modifica la Ley Orgánica del Régimen Electoral General en su artículo 58 bis, un tratamiento especial a los partidos políticos, que quedan legitimados para a recoger datos sobre opiniones políticas de los ciudadanos "obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral".

Desde PREVENSYSTEM, os animamos para que profundicéis en la materia de protección de datos y empecéis a gestionar los datos personales.

En nuestra web encontraréis toda la información sobre los productos de formación de LOPD disponibles y también el área de consultoría LOPD

Reconocimientos y participación

Top 100.000 EmpresasEmpresa Responsable con el VIH  y el Sida en EspañaWorld Compliance AssociationSTAREGISTERMicrosoftHiscoxEmpresa colaboradora Un Reto Social EmpresarialRecomendados por AEPSALEstrategia de emprendimiento y empleo jovenMiembros firmantes del Pacto de LuxemburgoMiembros de AENOAIntedya
 

Esta web utiliza cookies para obtener datos estadísticos de la navegación de sus usuarios. Si continúas navegando consideramos que aceptas su uso. Más información Aceptar   Rechazar