12 ABR 2018

RGPD: qué es, qué reglamenta, cómo adecuarse

El RGPD (Reglamento General de Protección de Datos) o Reglamento UE 2016/679 es un reglamento promulgado por la UE y entrado en vigor el 24 de mayo de 2016. En Italia está en curso de aprobación el diseño del decreto legislativo que armoniza la normativa nacional con el reglamento a nivel europeo.  En España será totalmente aplicable desde el 25 de mayo de 2018 con una normativa a nivel europeo. En España el RGPD va a sustituir la LOPD, la Ley Orgánica de Protección de Datos de Carácter Personal, aprobada por las Cortes Generales el 13 de diciembre de 1999. Las sanciones, si no se está en conformidad con el reglamento, serán aplicadas desde el 25 de mayo de 2018.

Normativa RGPD, ¿qué cambia?

La principal novedad introducida por el Reglamento consiste en la consolidación del principio de responsabilización de los titulares y responsables del tratamiento de los datos personales. Los sujetos responsables tendrán que asumir una actitud proactiva para demostrar la adopción de apropiadas medidas técnico-organizativas para la aplicación correcta del Reglamento sobre la recogida y el tratamiento de los datos personales. Se introduce un acercamiento basado en el riesgo en la evaluación de los tratamientos de datos personales que puedan comportar un riesgo elevado para “los derechos y las libertades de las personas implicadas”.

RGPD para las empresas, qué cambia en Italia para las empresas y las actividades en Internet

Entre las medidas introducidas o confirmadas para empresas y públicas administraciones hay que poner en evidencia:

  • La indicación de tener un “Registro de los tratamientos”;
  • La nominación de un “Responsable para la protección de los datos”;
  • La indicación de tener un registro de las DPIA, es decir de las evaluaciones de impacto sobre la protección de los datos (una verdadera análisis de los riesgos en ámbito privacidad).

El Reglamento y los siguientes pronunciamientos del Garante italiano han señalado cuándo y en qué contextos esas medidas tienen que ser obligatorias, remarchando, una vez más, cómo la responsabilidad final recaiga sobre los propietarios y responsables de los tratamientos.

Las buenas prácticas de una gobernanza cuidadosa de sus propios procesos sugieren, sin embargo, por lo menos la conservación del registro de los tratamiento, que es la base sobre la cual construir todas las actividades de protección de los datos personales en las empresas. Esta gobernanza se puede consolidar, además, con una integración cuidadosa con un posible Sistema de Gestión de la Seguridad de la Información (SGSI) certificado de conformidad con ISO27001.

RGPD para las empresas, ¿qué riesgos y sanciones en caso de negligencia o violación?

El titular del tratamiento de los datos personales debe indemnizar en caso de violación del Reglamento y lo mismo vale para el responsable, que responde por el daño causado por el tratamiento solo si no ha cumplido con las obligaciones del reglamento o si ha transgredido las instrucciones legítimas del titular. La carga de la prueba corre a cargo del propietario y del responsable, así como la carga de evaluar la necesidad y cualquier método de comunicación a las partes interesadas de la violación de sus propios datos personales procesados. En términos de sanciones, el límite de estas es 20,000,000 € o el 4% de la facturación mundial anual del año anterior y la limitación, o bloqueo, del tratamiento.

RGPD, es importante dirigirse a profesionales calificados: el servicio de asesoramiento de Consulthink

Consulthink trabaja junto a sus clientes, empresas privadas y administraciones públicas, ofreciendo sus servicios de asesoramiento, contando con un profundo conocimiento del Reglamento y del dominio comercial en el que contextualizarlo.

Elaborado por Lucia D’Adamo, en colaboraciàon con Daniele Paiella, supervisado por Marco Pirrone

 

Últimas Noticias