La Ley Orgánica de Protección de Datos española (Ley Orgánica 15/1999, de 13 de diciembre), que responde a la directiva europea 96/46, no ha sido derogada por lo que sigue vigente mientras no se oponga a regulaciones legales posteriores.

Existe una norma posterior: el Reglamento (UE) 2016/679 Del Parlamento Europeo Y Del Consejo de 27 de abril de 2016 sobre protección de datos personales y regulación de la libre circulación de datos; esta norma europea no necesita ser transpuesta ni adaptada a nuestro país ya que es de aplicación directa en España. Cuando hablamos de aplicar la normativa de protección de datos vamos a acudir a este reglamento que, en realidad, sustituye la anterior regulación.

Aunque la nueva norma tiene muchísimas similitudes con la anterior LOPD también tiene, como veremos, alguna novedad respecto de ella. En todo caso las empresas que ya se habían preocupado de cumplir la anterior regulación tienen un importante avance en el cumplimiento de la nueva.

La nueva regulación de la que hablamos entra en vigor a partir de mayo de 2018; se ha dejado este periodo transitorio de dos años para permitir a las empresas y demás organismos que puedan adaptarse.

Vamos a ver las principales novedades de la nueva regulación en comparación con la anterior.

Responsabilidad Proactiva

Por este principio se exige una actuación consciente, proactiva y diligente de las organizaciones que trabajen con datos personales respecto de ellos.

Con la nueva regulación el responsable de protección de datos de nuestra empresa está obligado a aplicar las medidas técnicas y organizativas que se precisen para el cumplimiento de la norma y tiene, además, que demostrar que el tratamiento de datos es conforme al reglamento.

Por lo tanto, no basta con actuar conforme a los principios y respeto de derechos que la norma establece, hay que hacerlo de manera expresa: el responsable debe analizar qué datos se tratan, para qué y en que tipo de actuaciones u operaciones se utilizan esos datos. A partir de este análisis se debe, de manera expresa, determinar cómo se va actuar en cumplimiento del Reglamento, y asegurarse que esas medidas son las más adecuadas para este cumplimiento y pudiendo, siempre, demostrarlo ante las autoridades y ante los propios interesados.

Enfoque de riesgo

Las medidas que se adopten para cumplir el Reglamento de Protección de datos no se limitarán a un mero cumplimiento nominal sino que deben considerar cada situación concreta: su naturaleza, contexto, ámbito y finalidades del tratamiento de datos y, sobre todo, el riesgo que aparezca para los derechos y libertades de los titulares de dichos datos.

Así, existen medidas previstas en el Reglamento que sólo se van a aplicar cuando exista un riesgo alto para los derechos y libertades y otras medidas se aplicarán siempre y en todo caso o modulándose según la situación de riesgo para los datos que pueda existir, es decir, la aplicación de las medidas protectoras se adaptará a cada caso concreto.

Por explicarlo de otra manera: una empresa u organización que trabaja con millones de datos personales de información sensible tiene que cumplir con unas medidas protectoras que no van a ser necesarias en una microempresa o una pequeña empresa que también maneja datos personales, pero en una cantidad muy limitada y, en muchos casos, no sensibles.

Obligaciones fundamentales

Como ya hemos dicho, la regulación es muy similar a la anterior. El tratamiento de datos debe realizarse teniendo en cuenta:

  • Legitimación los datos se pueden utilizar cuando se tiene un título legitimante, como consentimiento, utilidad pública u otros análogos. Esta base legal debe estar perfectamente identificada.
  • Consentimiento debe ser inequívoco y explícito: ya no se puede obtener por omisión.
  • Transparencia e información: debe ser clara, completa y comprensible para los interesados.
  • Se debe facilitar a los afectados el ejercicio de sus derechos de manera efectiva y gratuita.
  • Derecho de acceso con la nueva regulación el interesado tiene derecho a obtener una copia de los datos.
  • Derecho al olvido se aplica igual que con la anterior regulación.
  • Limitación y borrado de tratamiento los datos se utilizarán para el fin que se han obtenido y el interesado podrá requerir que se limiten estos usos según cada caso. Deberán ser borrados totalmente una vez utilizados.
Use of cookies

This website uses cookies so that you have the best user experience. If you continue browsing you are giving your consent for the acceptance of the mentioned cookies and the acceptance of our cookies policy

ACEPTAR
Aviso de cookies