RGPD: preguntas y respuestas sobre la nueva ley de protección de datos

RGPD: preguntas y respuestas sobre la nueva ley de protección de datos

El RGPD entró en vigor el 25 de mayo, pero todavía existen algunas dudas en cuanto al ámbito de su actuación. Las empresas necesitan estar preparadas para no correr el riesgo de sufrir las grandes multas que esta ley contempla. ¡Preparamos algunas preguntas y respuestas sobre la nueva ley de protección de datos y esperamos que este artículo sea útil para usted!

¿Cuándo es obligatorio el Data Protection Officer?

Esta figura (también conocida como DPO) desempeña un papel esencial en el período transitorio de la ley antigua a la nueva legislación. El nombramiento de un DPO es obligatoria en los siguientes casos: (1) cada vez que el procesamiento de datos tiene lugar en una entidad pública; (2) siempre que haya un seguimiento constante de las personas a gran escala; (3) siempre que haya un tratamiento de datos sensibles a gran escala.

¿Quién puede desempeñar el papel de Data Protection Officer?

De acuerdo con el RGPD, el Data Protection Officer (DPO) puede ser cualquier persona que trabaje en la organización, y que reúna algunas condiciones. El DPO necesita tener conocimientos especializados en el ámbito del derecho y las prácticas de protección de datos. No es obligatorio que sea un abogado, pero este profesional tiene que tener conocimientos jurídicos en profundidad en el área de protección de datos y experiencia en este sector. El DPO tendrá que tener la capacidad para asesorar a la Administración de la empresa ya sus colaboradores acerca de las obligaciones del Reglamento, así como de las demás disposiciones de protección de datos vigentes en la UE y en otros Estados miembros. Es importante que este profesional tenga aptitud para enseñar, comunicar sus ideas y hacerse entender a todos los colaboradores de la empresa. El DPO necesita conocer al detalle todo sobre la empresa, en particular los procedimientos de cada departamento. Al DPO se requiere el control de la conformidad de los procesos de la empresa con el nuevo RGPD, a través de auditorías. El reglamento permite que el DPO desempeñe otras funciones además de la responsabilidad con la protección de los datos, pero se aconseja que este profesional dedique la mayor parte (o incluso la totalidad) de su tiempo a las cuestiones de protección de datos y cumplimiento de la legislación.

¿Qué es la Evaluación de Impacto sobre la protección de datos (DPIA)?

De acuerdo con la Comisión Europea, el DPIA (Data Privacy Impact Assessment, es decir, Evaluación de Impacto de la Privacidad de Datos) es un proceso destinado a describir el procesamiento de datos privados, que evalúa la necesidad de un procesamiento y que ayuda a gestionar los riesgos relacionados con el tratamiento de datos personales Es una evaluación de riesgo, que relaciona el impacto de la concreción de amenazas de privacidad de datos con su probabilidad de ocurrir.

¿Es necesario obtener el consentimiento del titular de los datos en el caso de una base de datos con información de dominio público (ej: número de orden profesional en el sector de la Salud)?

Esta cuestión es un paradigma, pues los datos relacionados con el sector de la salud son sensibles y se recomienda el acceso sólo a los datos estrictamente necesarios para la prosecución de la función del colaborador. En estas situaciones, para mantener la confidencialidad e integridad de los datos, le aconseja el uso de una herramienta de enmascaramiento de datos, como el Datapeers.

¿Cuáles son los principales cambios en cuanto al consentimiento de los individuos y las empresas?

La regulación crea barreras adicionales a las prácticas actuales de recolección y procesamiento de datos en Portugal, la introducción de normas más estrictas para las empresas con respecto a dar su consentimiento a la recogida y tratamiento de datos personales. Las empresas tienen que considerar la creación de un contrato con el titular de los datos, el cumplimiento de obligaciones jurídicas y la defensa de intereses vitales del titular de los datos. Con el nuevo reglamento, un contacto de una tarjeta de visita, por ejemplo, no podrá ser incluido en ninguna base de datos sin el consentimiento explícito de su titular. En términos prácticos, el uso de cajas previamente seleccionadas, la ausencia de respuestas, la inactividad y el consentimiento a través de términos y condiciones dejarán de ser permitidos, pues ninguno de los medios presentados es considerado un medio de demostración del cumplimiento de los requisitos de consentimiento del nuevo Reglamento.

Si detecto una infracción de seguridad de datos, ¿quién debería notificar?

El ciudadano lesionado y la Comisión Nacional de Protección de Datos.

El consentimiento implícito a través de «Términos y Condiciones» sigue siendo permitido en el nuevo Reglamento?

No, hay que haber un consentimiento explícito por parte de los ciudadanos.

En el marco del RGPD, la encriptación de los datos es obligatoria?

La encriptación no es obligatoria. Cabe a las empresas dotarse de los mecanismos necesarios para garantizar la protección y confidencialidad de los datos.

Acerca del autor

Marketing administrator

Deja un comentario