Saltear al contenido principal
NUEVA REGULACION DE LA PROTECCION DE DATOS – TODO CAMBIA

NUEVA REGULACION DE LA PROTECCION DE DATOS – TODO CAMBIA

Hasta ahora la Protección de Datos se encuentra regulada en la Ley Orgánica 15/1999 de 13 de diciembre. El día 10 de noviembre de 2017 el Consejo de Ministros remitió a las Cortes Generales el Proyecto de Ley Orgánica de Protección de Datos, que adaptará la legislación vigente en España a las disposiciones del Reglamento Europeo de Protección de Datos. En el caso de que una vez aprobada la Ley, hubiese algún apartado que contradijera lo dispuesto en el Reglamento Europeo, será de aplicación el Reglamento Europeo.

Novedades:

  1. Medidas de responsabilidad activa (Accoimtability).
  2. La creación del Delegado de Protección de Datos (DPO).
  3. El tratamiento de datos de personas fallecidas.
  4. Los sistemas de denuncias internas (Whistleblowing).
  5. El derecho de supresión (derecho al olvido) y el derecho a la portabilidad de datos.
  6. El tratamiento con fines de video vigilancia.
  7. El consentimiento.

El texto presentado es un Proyecto de Ley Orgánica, por lo que, hasta su aprobación definitiva puede experimentar cambios en la redacción y contenidos.

Deberá entrar en vigor a partir del 25 de mayo de 2018.

EL CONSENTIMIENTO

A partir de ahora, el consentimiento debe ser “una clara acción afirmativa”. Por ejemplo, cuando se requiera a una persona su consentimiento para una pluralidad de finalidades, será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para cada una de ellas.

El consentimiento otorgado por los menores baja de los 14 años actuales, a los 13 años. Pero se califica como infracción grave “no acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de la patria potestad o tutela sobre el mismo”.

INFORMACION Y TRANSPARENCIA

Es un derecho y un deber. Derecho del interesado a obtener información sobre el tratamiento de sus datos. Deber del responsable del fichero a informar sobre el tratamiento de datos de carácter personal que efectúa.

DELEGADO DE PROTECCION DE DATOS (DPO)

Anteriormente denominado Responsable de Seguridad, su nueva denominación abarca muchos más conceptos.

Se enumeran los sujetos obligados a designar un DPO. Por ejemplo: Los colegios profesionales, las entidades aseguradoras, las Universidades, distribuidores y comercializadores de energía eléctrica, operadores de juego en canales electrónicos, etc.

El nombramiento y el cese del DPO deberá ser notificado a la AEPD en un plazo de diez días.

Se podrá consultar un listado actualizado de DPO por vía electrónica en la AEPD.

El DPO podrá certificarse cumpliendo los requisitos que a este efecto publicará la AEPD.

SANCIONES

Serán sujetos potencialmente sancionables: Los responsables de ficheros y encargados de tratamiento, los responsables o encargados de tratamientos no establecidos en la UE, las Entidades de certificación, las Entidades acreditadas de supervisión de los códigos de conducta.

Deja fuera del régimen sancionador a los DPO.

Se mantiene la gradación en:

Leves: Plazo de prescripción de un año.

Ejemplos:

  • Incumplimiento del principio de transparencia de la información y del derecho del afectado.
  • Incumplimiento de la obligación de supresión de los datos de una persona fallecida.
  • Disponer de un registro de actividades de tratamiento que no incorpore toda la información exigida en el Reglamento.
  • La notificación incompleta o defectuosa a la AGPD de la información relacionada con violación de seguridad.
  • No publicar los datos de contacto del delegado de protección de datos.

Graves: Plazo de prescripción dos años.

Ejemplos:

  • La falta de adopción de medidas técnicas y organizativas para garantizar, que los datos personales se trataran para los fines del tratamiento.
  • No disponer del registro de actividades establecido en el Reglamento.
  • Incumplimiento de la obligación de designación de un delegado de protección de datos.

Muy graves: Plazo de prescripción tres años.

Ejemplos:

  • La utilización de los datos para una finalidad distinta para la que fueron recogidos.
  • La omisión del deber de informar al afectado acerca del tratamiento de sus datos.
  • El impedimento, la obstaculización o la no atención reiterada del ejercicio de los derechos del afectado.
  • El incumplimiento de la obligación de bloqueo de datos según se establece en la normativa.

Finalmente comentar que se incorpora expresamente en materia de video vigilancia la posibilidad de que el empleador video vigile a sus empleados. Para cualquier consulta, estamos a su disposición en [email protected], o al telef. 93.630.05.61.