Guía para ponerse al día en materia de protección de datos. La figura del delegado de protección de datos (Febrero, 2018)
A partir del 25 de mayo de este año, los errores que se comentan al respecto pueden resultar muy caros ya que el Plan de Protección de Datos será obligatorio y las sanciones contenidas en él son mucho más duras, llegando a multas de hasta 20 millones de euros o del 4% del volumen de negocio total anual. Es por este motivo que los expertos recomiendan ponerse al día antes de que llegue la fecha límite.
Algunas de las principales novedades de este nuevo RGPD son las siguientes:
- Análisis de riesgos: el programa estándar ya no sirve y en el caso de tratamiento de datos especialmente sensibles es necesario llevar a cabo un análisis de riesgos y de evaluaciones de impacto.
- Almacenamiento de datos: los datos han de almacenarse siempre de manera anónima y bajo seudónimo.
- Obtención del consentimiento: ya no es posible el tratamiento de datos basado en el consentimiento tácito, es necesario disponer siempre del consentimiento expreso, explícito y específico de los interesados.
- Información más completa: la información que se dé a los usuarios debe ser mucho más completa, detallada y específica. Podrá darse en dos etapas, una primera con la información más básica en el momento de la obtención del consentimiento, y después una información adicional específica y detallada.
- Ejercicio del derecho de los interesados: se añaden nuevos derechos de los interesados como el derecho a la portabilidad de los datos o el derecho al olvido. Los responsables del tratamiento han de empezar a implementar sistemas y mecanismos a fin de facilitar a los interesados el ejercicio de estos derechos.
- Brechas de seguridad: siempre que haya cualquier problema de seguridad hay que comunicarlo a la Agencia Española de Protección de Datos (AEPD), pero también a los propios interesados cuando se hayan puesto en peligro sus derechos y libertades.
- Un nuevo profesional: se ha profesionalizado la tarea que hasta ahora realizaba el responsable de datos. Para ello se ha creado la figura del Delegado de Protección de Datos (Data Protection Officer). Su presencia es obligatoria tanto para los organismos públicos como para las empresas cuya actividad suponga la observación sistemática y habitual de datos a gran escala de categorías especiales de datos y de datos relativos a condenas e infracciones penales. La Agencia Española de Protección de Datos (AEPD) emitió el pasado 16 de enero la primera autorización a ANF Autoridad de Certificación (ANF AC) que podrá certificar la idoneidad de todos los expertos que aspiren a ser Delegados de Protección de Datos. La AEPD ha detallado también el perfil del profesional que aspire a cubrir el puesto, así como las competencias requeridas.