El pasado 7 de marzo, el grupo Seines realizó en España una sesión de aclaración sobre las novedades y desarrollos legislativos sobre la protección de datos (RGPD).
Maite Torres, la Directora General del grupo Seines en Madrid reveló que la sesión fue un éxito, en función de la gran participación e interés demostrados por las empresas y profesionales del sector de Recursos Humanos.
Recordemos algunos de los puntos más relevantes sobre RGPD:
El RGPD (Reglamento General de Protección de Datos) que deroga la Directiva 95/46 / CE es un documento con 99 artículos y 173 considerandos previos que regula la protección de las personas físicas en lo que respecta al tratamiento y la circulación de datos personales.
Este reglamento se aplica obligatoriamente el 25 de mayo de 2018 en todos los países de la Unión Europea y se ha publicado el 4 de mayo de 2016 en el Diario Oficial de la Unión Europea y el ámbito de aplicación material extensible al tratamiento de datos personales por medios total o parcialmente automatizados, así como al tratamiento por medios no automatizados de datos personales contenidos en archivos o destinados a ellos.
Hay algunas ideas esenciales del RGPD, siendo cierto que todavía se aguarda la legislación interna en esta materia:
1. Por Datos personales» se entiende toda la información relativa a una persona física identificada o identificable («titular de los datos»); se considerará identificable una persona física que pueda identificarse directa o indirectamente, en particular por referencia a un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, identificadores por vía electrónica o uno o más elementos específicos de la localización identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física; Como se puede constatar, es un concepto bastante amplio no limitado al nombre e identificación de las personas.
2.Consistencia del titular:
El consentimiento debe expresarse de forma libre, presentado en un lenguaje claro y simple e identificar el propósito del tratamiento, siendo aconsejable hacer un documento / adenda a los contratos de trabajo que refleje los derechos esencias del titular en esta materia. El titular puede retirar el consentimiento en cualquier momento.
3. Derecho a la información más reforzada:
El titular tiene derecho a acceder a sus datos personales, obtener información sobre su trato, en particular, a conocer si sus datos se transfieren a un tercer país u organización internacional.
4. Derecho a la supresión de los datos («derecho a ser olvidado»):
El titular tiene derecho a obtener la supresión de los datos personales sin demoras injustificadas.
5. Derecho de portabilidad de los datos:
Otra novedad consiste en el derecho del Titular a solicitar que sus datos personales le sean transmitidos o transmitidos a otra organización, siempre que sea técnicamente viable.
6. Responsable de tratamiento:
El principio central de responsabilidad relativa a las organizaciones conduce a que la figura del responsable de tratamiento sea de extrema importancia, ya que debe aplicar todas las medidas técnicas y organizativas adecuadas y garantizar y comprobar que el tratamiento se realiza de conformidad con el reglamento, que puede existir también un subcontratista.
Estas dos figuras, a coexistir, hace esencial que las competencias de cada uno queden perfectamente definidas en el contrato para una eventual liquidación concreta de funciones y responsabilidades.
7. Encargado de protección de datos (DPO)::
Una de las principales novedades del RGPD consiste en la figura del Encargado de Protección de datos que es de nombramiento obligatorio para los siguientes casos:
- Autoridad u organismos públicos o entidades que controlen regularmente datos personales a gran escala y / o que traten datos sensibles a gran escala. El RGPD no tiene curiosidad por la definición de lo que se debe entender a gran escala: Ha habido propuestas en el seno del Grupo para introducir el número mínimo de 150 personas, pero esta idea no ha venga. Competirá al legislador interno definir este número.
- No siendo una figura obligatoria para todos, se ha señalado que tiene un papel importante, en particular en el diálogo que debe mantenerse con la CNPD. Sobre el perfil a que debe atenerse, el Reglamento señala que debe ser designado sobre la base de sus cualidades profesionales y, en particular, en sus conocimientos especializados en el ámbito del derecho y de las prácticas de protección de datos.
8. Protección de los datos desde la concepción y por defecto:
Las organizaciones deben aplicar las medidas técnicas y organizativas adecuadas, como la pseudonimización, para garantizar la protección de datos y, por defecto, que sólo se tratan los datos para cada fin específico. Por seudonimización se entenderá el tratamiento de datos personales de modo que dejen de atribuirse a un titular de datos específico sin recurrir a información adicional, siempre que dicha información suplementaria se mantenga por separado y esté sujeta a medidas técnicas y organizativas para garantizar que los datos los datos personales no puedan atribuirse a una persona física identificada o identificable.
9. Registro de las actividades de tratamiento:
Para responder a la obligación de «accountability», las organizaciones deben mantener un registro detallado y actualizado de todas las actividades relacionadas con el tratamiento de datos personales, tanto las que resulten directamente de la obligación de mantener un registro o las relativas a otros procedimientos internos, de modo que la organización esté en condiciones de demostrar en todo momento el cumplimiento de todas las obligaciones derivadas del RGPD.
10. Notificación de infracción:
En caso de violación de datos personales, es obligatorio informar a la autoridad de control (CNPD) hasta 72 horas. En caso de alto riesgo para el titular, dicha infracción le comunicará sin demora.
11. Evaluación del impacto sobre la protección de datos:
Cuando la especificidad del tratamiento implica un alto riesgo, en particular la utilización de nuevas tecnologías, la empresa procede a través del responsable del tratamiento y antes de iniciar el tratamiento, a una evaluación del impacto (PIA).
Conforme a los resultados de la evaluación, podrá proceder a la consulta previa posterior ante la Comisión Nacional Protección de Datos