Más sobre el nuevo reglamento Europeo de Protección de Datos

El pasado viernes 12, dentro de la ponencia realizada en el VIII foro de la Privacidad, por D.Thomas Zerdick, Deputy Head of Unit, Data Protection, DG Justice,  European Commission,  D. Jacob Kohnstamm, Chairman of the Dutch Data Protectio Authority and former Chairman of the article 29 data protection Working Party y D. Rafael García Gozalo, vocal Asesor Jefe del Area Internacional de la Agencia Española de Protección de Datos, se desvelaron de primera mano algunas particularidades sobre el nuevo reglamento europeo de protección de datos.
Por ejemplo, el texto ya aprobado se encuentra en fase de traducción a las diferentes lenguas de la UE. La publicación definitiva del Reglamento, está prevista para finales de Junio de este año y este entrará en vigor al cabo de dos años. Este plazo aunque parece largo en realidad no lo es debido a la cantidad de novedades que trae la norma.
Como novedad a destacar, desaparecerá la inscripción de ficheros en el Registro General de la AEPD y aunque esto a priori parece que va a suponer una dificultad para los profesionales que nos dedicamos a dar asesoramiento en materia de protección de datos, no es así, ya que se incorporan otra serie de obligaciones para los responsables de fichero.
Como elementos importantes del nuevo reglamento;

  1. Responsabilidad del Responsable del tratamiento de datos
  2. Evaluación de Impacto sobre tratamiento de datos personales
  3. Oficial/Delegado de Protección de Datos (DPO)
  4. Notificación de brechas de seguridad
  5. Sanciones/multas administrativas hasta dos millones de euros o el 4% de la facturación global para multinacionales
  6. Ventanilla unica
  7. Consentimiento inequívoco que debe plasmar el carácter afirmativo del mismo
  8. Derecho al olvido y a la portabilidad
  9. Responsabilidad activa.
  • Obligación de adoptar medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el reglamento (documento de seguridad puesto al día) El Reglamento considera INSUFICIENTE  "no incumplir". La no existencia de estas medidas es sancionable.
  • Tipos de medidas:
  1. mantener documentación
  2. aplicar medidas de seguridad adecuadas
  3. medidas de protección de datos desde el diseño
  4. medidas de protección de datos por defecto
  5. llevar a cabo evaluaciones de impacto
  6. autorización previa o consultas con agencia de protección de datos
  7. designación de delegado de protección de datos
  8. notificación de brechas de seguridad
  9. códigos de conducta y esquemas de certificación

   10. Enfoque de riesgo

  • determinadas medidas aplicables en función del riesgo para los derechos y libertades de los interesados
  1.  alto riesgo vs. riesgo estándar
  2.  el riesgo como criterio de ponderación
  3.  el caso de la notificación de quiebras de seguridad

  11. Transferencias internacionales

  •  El Reglamento parte del criterio clásico de que los datos de los europeos solo pueden enviarse a países que ofrezcan un nivel adecuado de protección.
  • Se amplían y flexibilizan los instrumentos de garantía.
  1. instrumentos jurídicamente vinculantes y ejecutables entre autoridades u organismos públicos
  2. BCR (de responsables y encargados)
  3. cláusulas contractuales estándar aprobadas por la comisión
  4. cláusulas contractuales estándar aprobadas por una autoridad nacional y aceptadas por la comisión
  5. códigos de conducta y esquemas de certificación, junto a compromisos vinculantes y ejecutables del responsable o encargado en el tercer país para aplicar las salvaguardas apropiadas, incluidos los derechos del interesado
  6. ampliación de excepciones para casos basados en interés legitimo del responsable

 

Publicado por Asociacion Profesional de Consultores en Proteccion de Datosen 22.02.2016