Este reglamento, que sustituye a la Ley Orgánica de Protección de Datos (LOPD), vigente en España desde 1999, afecta a todas aquellas empresas de cualquier tamaño —también talleres de reparación— que recopilen o utilicen datos personales de terceros de cualquier país de la Unión Europea.
Uno de los objetivos de esta nueva normativa es, según recuerda Cepyme, ofrecer más garantías a los ciudadanos sobre la utilización de sus datos personales por parte de las empresas y que se establece para el empresario el principio de responsabilidad proactiva.
Entre otros aspectos, desaparece la obligación de notificar ficheros a la Agencia de Protección de Datos, que hay que elaborar un registro de actividad de tratamiento y que queda prohibido el consentimiento tácito, y las casillas premarcadas en la web.
Con la normativa aparece un nuevo concepto de “violaciones o brechas de seguridad” para las que hay que tener un protocolo específico, y nuevos derechos de limitación, portabilidad y olvido.
Otras de las novedades es que las empresas que traten datos personales de forma intensiva o datos sensibles a gran escala, así como para organismos públicos tienen que incorporar un Delegado de Protección de Datos y comunicarlo a la Autoridad de control, y se realizarán análisis de riesgos sobre los datos tratados. Las sanciones se incrementan y van desde los 10 a los 20 millones de euros.
Revisar los consentimientos
Desde Cepyme recomiendan revisar los contratos con los encargados del tratamiento, los compromisos de confidencialidad de los trabajadores, los consentimientos que se obtuvieron en su día, regularizarlos y la documentación de seguridad.Por otro lado, con la nueva normativa hay que implantar una serie de medidas como análisis de riesgos, hacer registros de actividad y ver si es necesario disponer de un Delegado de Protección de Datos. La Agencia Española de Protección de Datos (AEPD) ha publicado un sistema de notificación electrónica para comunicar la designación de estos Delegados.
El RGPD recoge que los responsables o encargados del tratamiento deben publicar los datos de contacto de los DPD y comunicar su designación a la autoridad de control. Esta comunicación a la Agencia por parte de los sujetos obligados debe producirse con anterioridad al 25 de mayo.
El nuevo procedimiento para la comunicación del Delegado de Protección de Datos es un formulario online al que se accede con certificado electrónico, en cumplimiento del artículo 14 de la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas.
La AEPD ha creado una herramienta, Facilita, para ayudar a las pymes en la aplicación del RGPD, accesible desde su página web.