De obligado cumplimiento desde el 13 de Diciembre de 1.999.
Nueva LOPD aprobada por el Consejo de Ministros el 10 de Novimbre de 2017, esperando la aprobación definitiva y entrada en vigor.
Entrada en vigor el 25 de Mayo de 2016.
2 años de plazo para la adecuación de las empresas al RGPD.
De obligado cumplimiento desde el 25 de Mayo de 2018.
Aplicable de forma conjunta a la LOPD.
Definición de Datos de carácter personal: "Cualquier información concerniente a personas físicas identificadas o identificables."
Definición expandida de Datos de carácter personal: "Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona."
Extensión de los datos sensibles a datos biométricos y genéticos.
Deber de informar al afectado en el momento de la recogida sobre la existencia de un fichero de datos, finalidad de los datos, destinatarios, derechos del interesado e identidad del responsable.
Carácter obligatorio o facultativo de la respuesta a las preguntas.
Amplía la información que debe ser comunicada en el momento de recabar datos personales a:
La finalidad tiene que ser:
Información de si la recogida de datos es obligada para la relación contractual o es requisito legal.
Posibilidad de ejercer los derechos ARCO:
Se refuerzan los derechos ARCO con nuevos derechos:
Consentimiento de los usuarios:
Se limita a los 14 años (España).
Consentimiento de los usuarios:
Se limita a los 13 años(España).
Cuando los datos se recaban a través de un tercero hay plazo de 3 meses para informar.
Cuando los datos se recaben a través de un tercero hay plazo de 1 mes para informar.
Obligación de notificación e inscripción de ficheros de datos en el Registro General de la AEDP.
Obligación de llevar un Registro interno por escrito de las actividades de tratamientos de ficheros y documentar los procesos de tratamiento ante la AEPD por parte de las empresas de más de 250 empleados o cuando se traten, no de forma ocasional, datos sensibles:
Acuerdos de Confidencialidad con trabajadores y terceros.
Firmar nuevos Acuerdos de confidencialidad con contenido mínimo RGPD.
Obligación de suscripción de contrato con el Encargado de Tratamiento (ET) de conformidad con contenido mínimo LOPD.
Necesidad de diligencia debida en la selección de encargados.
Obligación de elegir ET que ofrezca "garantías suficientes" para aplicar medida técnicas y organizativas apropiadas, teniendo en cuenta que se añaden nuevos requisitos.
El Responsable del Tratamiento deberá adoptar medidas apropiadas, incluida la elección de encargados, de forma que garantice y esté en condiciones de demostrar que el tratamiento se realiza conforme al RGPD.
Listado detallado de medidas de seguridad a implantar en función de tres niveles de seguridad (básico, medio, alto) según la tipología de los datos, considerándose datos sensibles los religiosos, sanitarios, étcnicos…
No es necesario el análisis de riesgos.
Auditoria es obligatoria para todas aquellas organizaciones que, por el tipo de datos que almacenan, tienen un nivel de seguridad medio o alto.
Principio de Responsabilidad Proactiva, actuando siempre con un enfoque preventivo.
Desplaza a las empresas la responsabilidad de identificar las medidas de seguridad que aplicarán en el tratamiento de datos que llevan a cabo. Los artículos 25 y 32 del RGPD recogen que las medidas de seguridad tendrán que ser adecuadas al riesgo que exista sobre los distintos ficheros por lo que se hará necesario que las empresas lleven a cabo un análisis de riesgos.
Protección de datos desde el diseño:La elaboración de los procedimientos empresariales se tienen que realizar teniendo en cuenta la protección de datos desde un primer momento.
Evaluación de Impacto de Protección de Datos-EIDP, cuyo fin es "valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Dicha evaluación de impacto debe incluir, en particular, las medidas, garantías y mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con el presente Reglamento". Es obligatoria cuando:
No es necesario comunicar brechas de seguridad, solo llevar un registro de incidencias.
Obligatoriedad de comunicar cualquier brecha de seguridad, ya sea intromisión, pérdida de información o hackeo grave de seguridad en un plazo máximo de 72 horas.
Si, además, se pueden ver afectados datos de carácter sensible y con gran repercusión para los afectados, también se deberán notificar a los mismos.
Responsable Seguridad
DPD o Delegado de Protección de Datos(DPO o Data Protection Officer)
Se trata de una nueva figura profesional con conocimientos especializados y características específicas que velará por el cumplimiento del RGPD y actuará como nexo de unión entre las personas particulares, las organizaciones y la AEPD. Esta figura es recomendable siempre y será obligatoria en algunos casos.
Sanciones: entre 900 y 600.000€
Sanciones: pueden llegar hasta 20 millones de € o 4% de la facturación anual mundial.
Nuestro equipo de colaboradores está constituido principal y prioritariamente por profesionales senior, de valía y experiencia demostradas en sus respectivas áreas competenciales, siendo así mismo objeto de la empresa facilitar la reintegración al mundo laboral de profesionales cuya edad dificulta el acceso a puestos de trabajo dignos y adecuados a sus competencias.
