La nueva LOPD añade un conjunto de Garantías de los Derechos Digitales, por lo que pasa a ser LOPDGDD. Junto al Reglamento General de Protección de Datos (norma UE), la LOPDGDD dan cuerpo al nuevo marco regulador de la privacidad en España.
Estos son los puntos más importantes que tienes que tener en cuenta:
Las nuevas normas de referencia:
- El Reglamento (UE) 2016/679, Reglamento General de Protección de Datos (RGPD también conocida por GDPR por sus siglas en inglés).
- La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
Nuevas Garantías de los Derechos Digitales
La LOPDGDD adapta al ordenamiento español lo previsto en el RGPD, añadiendo un Título (el décimo) que tiene como fin impulsar la protección de los derechos digitales de la ciudadanía, tales como el derecho de desconexión en el ámbito laboral o el derecho a la seguridad y a la educación digital.
Ya no notificamos ficheros a la agencia
Ya no es necesario notificar ficheros ante la Agencia Española de Protección de Datos. Aunque sí es necesario llevar un registro de las operaciones de tratamiento de las que la organización es responsable o encargado. El contenido de este registro se basa en el que se incluía en los ficheros notificados.
Auditorías periódicas
Tampoco es obligatorio llevar a cabo una auditoría bienal ni existe un catálogo de medidas de seguridad común para todos los responsables. En su lugar, las organizaciones deben analizar los tratamientos de los que son responsables y, en función de la naturaleza de sus actividades y los riesgos reales sobre los datos personales, deben decidir (de forma justificada), las acciones preventivas a llevar a cabo. Es decir, deben decidir y justificar la periodicidad de sus auditorías, las medidas de seguridad de carácter técnico y organizativo, como controles de acceso lógico y físico, o copias de seguridad por citar algunos ejemplos.
Evaluaciones de impacto
En algunas ocasiones deben realizarse Evaluaciones de Impacto (un análisis con mayor rigor y profundidad de análisis), con la finalidad de aumentar el cuidado sobre los datos personales.
Información y consentimiento
El nuevo marco regulatorio refuerza el deber de información y consentimiento que se debe recabar de los titulares para tratar sus datos datos.
Acceso de terceros a los datos
Aumenta la responsabilidad en la elección de proveedores que vayan a tratar datos personales. Ya no sólo basta con firmar el contrato de acceso a datos, sino que el responsable debe verificar que ofrezcan suficientes garantías sobre las medidas de seguridad que aplican en los tratamientos.
Contactos profesionales
La licitud del tratamiento de los contactos profesionales, se presumen amparada en el interés legítimo como base legitimadora. No obstante debe tenerse cuidado respecto a las comunicaciones comerciales, todavía bajo las limitaciones impuestas desde la LSSI.
Delegado de Protección de Datos
Se prevé la obligación, para algunas organizaciones, de nombrar un Delegado de Protección de Datos. Esta figura tiene encomendado impulsar el cumplimiento normativo en la organización, por lo que debe contar con conocimientos tanto técnicos como legales suficientes. El Delegado de Protección de Datos se puede externalizar en un profesional especializado en la materia.
Derechos ARCO ampliados
A los derechos ARCO de los titulares se suman nuevos derechos, como el derecho de limitación del tratamiento, el derecho al olvido o a la portabilidad de los datos. Además aparecen nuevos principios rectores de la actividad del responsable, como la privacidad desde el diseño y por defecto.
Sanciones
Aumentan las sanciones: las multas podrán alcanzar los 20 millones de euros o el 4% de la facturación global del negocio.
