Recomendaciones e Implicaciones prácticas del nuevo Reglamento General de Protección de Datos

La Agencia Española de Protección de Datos (AEPD) ha publicado un documento con las primeras recomendaciones e implicaciones prácticas del nuevo Reglamento General de Protección de Datos. Os lo resumimos en 4 puntos básicos:

         1. El consentimiento tácito ya no será válido

A partir de mayo de 2018, sólo tendrán legitimación suficiente los tratamientos basados en el consentimiento expreso, con independencia de cuándo se haya obtenido ese consentimiento. 

En este sentido, la Agencia aconseja que las organizaciones que en estos momentos utilizan el llamado consentimiento tácito como base para tratamientos de datos, comiencen tanto a revisar los consentimientos ya obtenidos para adecuarlos al Reglamento como a utilizar mecanismos acordes con la nueva legislación.

          2.- Información 

En materia de información el RGPD incluye cuestiones adicionales que actualmente no son requeridas por la normativa española. Por tanto, el periodo transitorio debería ser utilizado por las empresas para realizar una adaptación progresiva al RGPD, incluyendo la adaptación de sus políticas de privacidad.

          3.- Evaluaciones de impacto sobre la protección de datos

La realización de Evaluaciones de Impacto sobre la protección de datos –aplicables de forma obligatoria en ciertos tratamientos- tiene carácter previo a la puesta en marcha de los mismos y tiene como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos.

La AEPD considera que no debería esperarse a la fecha en que la realización de las evaluaciones resulte obligatoria para comenzar a utilizar esta herramienta, ya que requiere de preparación, elección de la metodología adecuada, identificación de los equipos de trabajo y otra serie de condiciones que no pueden improvisarse.

 Comenzar a incorporar este sistema a la actuación no sólo va a permitir estar en mejores condiciones en el momento en que el RGPD resulte obligatorio, sino que también permitirá asegurar el cumplimiento de la actual normativa. 

          4.-  Contratos de encargo de tratamiento 

El Reglamento describe un contenido mínimo de los contratos de encargo de tratamiento que excede las previsiones contempladas en la actual Directiva de protección de datos. En el caso español, la LOPD ya contempla la inclusión de algunos de esos contenidos en los contratos, aunque hay diferencias entre esta y en RGPD en relación a los requisitos fijados.

Este momento de transición entre la entrada en vigor y la aplicación del RGPD debería aprovecharse para llevar a cabo dos acciones paralelas: (i) abordar la revisión de los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, de forma que en mayo de 2018 sean compatibles con las disposiciones del RGPD y (ii) comenzar a incluir en las nuevas cláusulas contractuales todos los elementos que el RGPD considera necesarios. 

Fuente de la información www.letslaw.es