LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

07/02/2023. 03:56:55

LegalToday

Por y para profesionales del Derecho

En 10 puntos las líneas maestras de la nueva regulación

Protección de datos: listos … ya!!!

Concepción Obispo Triana
Departamento de contenidos Thomson Reuters
Protección datos

1. Modelo basado en el principio de responsabilidad activa (accountability).

  • Qué significa: la empresa debe estar en condiciones de demostrar que cumple con las previsiones normativas en materia de protección de datos. En términos coloquiales, el legislador ha considerado que las empresas "se han hecho mayores" y deben actuar correctamente sin "una figura paterna (la Agencia de Protección de datos u organismo autonómico) que vele por que cumplan". Para esto se articulan, entre otras, medidas como las siguientes:
    • La protección de datos desde el diseño (Pryvacy by Design) y por defecto (Pryvacy by default)
    • Medidas de seguridad tales como la seudonimización o el cifrado de datos
    • Establecer un proceso de verificación, evaluación y valoración de la eficacia de las medidas adoptadas.

2. Datos policiales y judiciales:  excluidos del ámbito de aplicación del RGPD.

3. Datos sobre personas fallecidas: no están protegidos por el RGPD.

  • Por qué: porque el derecho a la intimidad sólo es un derecho que tienen las personas vivas. No obstante, los muertos si tienen derecho al honor.

4. A qué empresas se aplica la nueva normativa:

  • Establecidas en la UE
  • No establecidas en la UE, pero tratan datos de ciudadanos europeos.

5. Una empresa puede tratar los datos personales de las personas físicas:

  • Porque el interesado ha prestado su consentimiento de modo expreso.
  • Porque existe una relación contractual entre el interesado y la empresa. Ej: Relación laboral -> Datos del número de cuenta para cobrar la nómina.
  • Porque existe un interés legítimo prevalente de la empresa. Ej: Publicación en las guías telefónicas el número de los abonados cuando el servicio se comenzó a prestar en un régimen de libre competencia.
  • Por una necesidad vital del interesado. Ej: Persona que tiene un accidente en el trabajo y le extraen sangre para saber qué tratamiento aplicar.
  • Por una obligación legal para la empresa.
  • Por un interés público o se derive del ejercicio de poderes públicos.

6. Los derechos de los interesados: ARCO-POL

  • Acceso a los datos
  • Rectificación de los datos
  • Cancelación de los datos
  • Oposición al tratamiento de los datos
  • Portabilidad de los datos.
  • Derecho al olvido.
  • Limitación del tratamiento de los datos.

7. Obligación de mantenimiento de un registro de actividades de tratamiento.

  • Empresas de más de 250 trabajadores.
  • Empresas de menos de 250 trabajadores en las que:
    • El tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados y realicen tratamientos con datos que no sea de forma ocasional;
    • Si el tratamiento que se realiza incluye categorías especiales de datos personales.
    • Si el tratamiento incluye datos personales relativos a condenas e infracciones penales.
  • Desaparece la obligación de notificar y registrar los ficheros de datos personales ante la AEPD.

8. Realización de Evaluaciones de Impacto sobre la protección de datos (EIPD o PIAS).

  • La empresa debe analizar los riesgos a las que está expuesta, evaluarlos y adaptar las medidas oportunas para eliminar o controlar esos riesgos.

9. Nombramiento por la empresa de un Delegado de protección de datos (DPD o DPO)

  • Será obligatorio su nombramiento:
    • En entidades públicas. Excepto juzgados y tribunales que actúen en ejercicio de su función judicial.
    • Entidades privadas que realizan tratamientos de datos «especiales» a gran escala.

10. Las violaciones o quiebras de seguridad deben notificarse

  • A la AEPD u organismo autonómico: sin dilación indebida y a más tardar en 72 horas desde que se haya tenido constancia de la violación o la quiebra.
  • Al interesado: cuando sea probable que la violación entrañe un alto riesgo para los derechos y libertades de las personas físicas

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.