Con la entrada en vigor el próximo 25 de Mayo del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la directiva 95/46/CE (En adelante RGPD - EU), es necesario realizar cambios para tratar los datos de carácter personal de acuerdo a los principios y garantías establecidos en el mismo.

A grandes rasgos, (no se reflejan todas las novedades, sino solo aquellas que pudieran afectar a los Colegiados, si bien cada caso requerirá un análisis concreto), los Principales cambios son los siguientes:

No inscripción ficheros. Hasta ahora con la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de carácter Personal era necesaria la Inscripción de los Ficheros y Tratamientos en el Registro General de Protección de Datos. Ya no será necesario y se sustituye por el Registro de Actividades de Tratamiento. Se trata de un documento interno de la organización que deberá estar a disposición de la Autoridad de Control.

No catálogo de Medidas Seguridad. Hasta ahora en función del tipo de datos Básico, Medio o Alto, el RD 1720/2007, de 21 de diciembre, por el que se desarrolla la LOPD, establecía el catálogo obligatorio de medidas de seguridad a cumplir. El nuevo Reglamento establece que tras una evaluación de los riesgos se diseñarán e implementarán aquellas medidas técnicas y organizativas adecuadas para tratar los datos de acuerdo con los principios y garantías del RGPD. Los riesgos pueden deberse a la seguridad de la información (integridad, confidencialidad y disponibilidad de la misma) o bien, al cumplimiento de lo dispuesto en el RGPD). Estas medidas deben permitir evaluar su eficiencia, y que el Responsable del Tratamiento demuestre el tratamiento confidencial de los datos. El RGPD habla de mecanismos de certificación y adhesión a códigos de conducta para probar el correcto tratamiento de los datos. A día de hoy no se han aprobado, por lo que para cumplir correctamente se recomienda seguir el esquema del RD 1720/2007, para los ficheros de nivel alto.

Consentimiento. Debe obtenerse para todas y cada una de las finalidades legitimas e informadas con las que se quieran utilizar los datos. El Responsable del Tratamiento debe ser capaz de demostrar que cuenta con el Consentimiento del interesado.

Minimización Datos. Se recabarán exclusivamente aquellos datos necesarios para el cumplimiento de las finalidades con las que se recaban.

Mantenimiento de Datos. Se mantendrán exclusivamente por el tiempo necesario para cumplir con la finalidad con la que se recaban. Existen excepciones. Mantenimiento de los datos con fines estadísticos, Históricos o científicos, así como el mantenimiento de los datos hasta que prescriban las acciones legales que puedan derivarse del tratamiento. Bloqueo de datos y seudonimización. Solo podrán utilizarse con estas finalidades.

Encargados del Tratamiento. El RGPD establece la diligencia del Responsable del Tratamiento a la hora de elegir un Encargado del tratamiento que le preste servicio, que garantice el tratamiento de acuerdo con lo dispuesto en el RGPD.

Delegado de Protección de Datos. Figura que regula el RGPD que velará por el correcto tratamiento de los datos, y de coordinación entre el interesado y la Autoridad de Control. En los supuestos que prevé actualmente el RGPD no es obligatorio para el Colectivo. Está prevista la aprobación de una Ley española de Protección de Datos que puede ampliar los supuestos.

Evaluaciones de Impacto. Se trata de un análisis previo al inicio del tratamiento cuando por utilizar nuevas tecnologías, el alcance o fines del tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas.

Comunicación brechas de seguridad a la Autoridad de Control / al interesado. No será necesaria la comunicación si el responsable ha implementado medidas de seguridad que hagan improbable un riesgo para los derechos y libertades de las personas (Cifrado de Datos).

Como conclusión, es necesario para cumplir con el RGPD:

Evaluación Riesgos.

Revisión Cláusulas informativas.

Revisión contratos con encargados del Tratamiento.

Revisión medidas de seguridad. Documentar las medidas. Evaluación periódica.

Pedro Gaytán de Ayala Sarralde

PEGYSA Consultores