Nuevo marco normativo de privacidad ¿preparado?
La finalidad del desayuno de trabajo fue informar a los miembros asistentes respecto a los importantes cambios y novedades normativas en materia de protección de datos y el considerable aumento de las sanciones por incumplimiento que incluyen multas hasta de 20 millones de euros o del 4% de la facturación de la compañía. Por lo que su incumplimiento no es una opción.
Los principales temas expuestos por el ponente, Juan Carlos Gavarrete Álvarez, Senior Manager del área Governance, Risk Management & Compliance de Mazars Auditores fueron:
- Consideraciones previas del nuevo marco normativo de protección de datos.
- Cronología de la normativa europea y nacional.
- Principales novedades del GDPR.
- Análisis comparativo de los principales requerimientos de protección de datos conforme a la normativa actual LOPD/RDLOPD y el Nuevo Reglamento Europeo de Protección de Datos GDPR.
En particular, el análisis comparativo entre la actual normativa de protección de datos y el GDPR se realizó principalmente respecto a los siguientes aspectos:
- SANCIONES: la función sancionadora de la Agencia Española de Protección de Datos AEPD y el elevado aumento de multas por infracciones.
- FUNCIÓN DE AUDITORÍA DE LA AEPD: además de las funciones actuales de la AEPD dispondrá de la potestad de realizar Planes de Auditoría Preventiva de Protección de Datos por Sector de Actividad, teniendo por objeto el “análisis del cumplimiento” del RGPD.
- DEBER DE INFORMACIÓN Y CONSENTIMIENTO: se establecen obligaciones adicionales en el ámbito del deber de información al tratamiento de los datos personales y obtención del consentimiento.
- DERECHOS DE LOS INTERESADOS: se establecen derechos adicionales a los derechos de acceso, rectificación, cancelación y oposición (ARCO), como lo son principalmente el derecho al olvido, portabilidad, transparencia de la información, habilitación de medios electrónicos para el ejercicio de sus derechos.
- DELEGADO DE PROTECCIÓN DE DATOS (DPO): se establece la nueva figura de DPO para determinados supuestos de tratamiento de datos y con específicas funciones, principalmente de información y asesoramiento al Responsable o Encargado de Tratamiento, supervisión del cumplimiento GDPR y normativa vigente, asesoramiento en la evaluación de impacto, cooperación con las autoridades, actuar como punto de contacto, etc.
- REGISTRO DE ACTIVIDADES DE TRATAMIENTO: establece la obligación de los Responsables y Encargados de Tratamiento de mantener un “Registro de Actividades de Tratamiento”.
- RESPONSABLE (RT) Y ENCARGADO DE TRATAMENTO (ET): se establecen obligaciones concretas para los RT y ET más la posibilidad de adherirse a Códigos de Conductas y/o Certificaciones. Se exige además la elección de ET que den “garantías suficientes” para aplicar medidas de seguridad adecuadas así como requisitos adicionales que deben regular los Contratos de ET.
- MEDIDAS DE SEGURIDAD: el RGPD establece que se deberán implantar medidas técnicas y organizativas necesarias para garantizar una adecuada seguridad para lo cual será necesario un análisis de riesgos.
- NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD: se establece la obligación de comunicar las violaciones de seguridad con impacto en los datos personales gestionados, tanto a la AEPD y a los interesados afectados.
- DATOS SENSIBLES: amplía la consideración de los datos de nivel alto de seguridad ahora denominados por el GDPR como datos sensibles a los datos biométricos y datos genéticos.
Una vez expuesto las principales novedades y cambios del GDPR y el análisis comparativo con la normativa actual, se concluyó que los principales retos de las compañías para la implantación efectiva del GDPR son los indicados a continuación:
- Potenciar la Cultura de Cumplimiento GDPR en toda la Organización, desde la alta dirección, cuadros intermedios y áreas operativas.
- Implantar la Gestión de Riesgos en el tratamiento de datos personales.
- La asignación adecuada de recursos.