El RGPD entró en vigor el 25 de mayo, pero todavía existen algunas dudas en cuanto al ámbito de su actuación. Las empresas necesitan estar preparadas para no correr el riesgo de sufrir las grandes multas que esta ley contempla. ¡Preparamos algunas preguntas y respuestas sobre la nueva ley de protección de datos y esperamos que este artículo sea útil para usted!
Esta figura (también conocida como DPO) desempeña un papel esencial en el período transitorio de la ley antigua a la nueva legislación. El nombramiento de un DPO es obligatoria en los siguientes casos: (1) cada vez que el procesamiento de datos tiene lugar en una entidad pública; (2) siempre que haya un seguimiento constante de las personas a gran escala; (3) siempre que haya un tratamiento de datos sensibles a gran escala.
De acuerdo con el RGPD, el Data Protection Officer (DPO) puede ser cualquier persona que trabaje en la organización, y que reúna algunas condiciones. El DPO necesita tener conocimientos especializados en el ámbito del derecho y las prácticas de protección de datos. No es obligatorio que sea un abogado, pero este profesional tiene que tener conocimientos jurídicos en profundidad en el área de protección de datos y experiencia en este sector. El DPO tendrá que tener la capacidad para asesorar a la Administración de la empresa ya sus colaboradores acerca de las obligaciones del Reglamento, así como de las demás disposiciones de protección de datos vigentes en la UE y en otros Estados miembros. Es importante que este profesional tenga aptitud para enseñar, comunicar sus ideas y hacerse entender a todos los colaboradores de la empresa. El DPO necesita conocer al detalle todo sobre la empresa, en particular los procedimientos de cada departamento. Al DPO se requiere el control de la conformidad de los procesos de la empresa con el nuevo RGPD, a través de auditorías. El reglamento permite que el DPO desempeñe otras funciones además de la responsabilidad con la protección de los datos, pero se aconseja que este profesional dedique la mayor parte (o incluso la totalidad) de su tiempo a las cuestiones de protección de datos y cumplimiento de la legislación.
De acuerdo con la Comisión Europea, el DPIA (Data Privacy Impact Assessment, es decir, Evaluación de Impacto de la Privacidad de Datos) es un proceso destinado a describir el procesamiento de datos privados, que evalúa la necesidad de un procesamiento y que ayuda a gestionar los riesgos relacionados con el tratamiento de datos personales Es una evaluación de riesgo, que relaciona el impacto de la concreción de amenazas de privacidad de datos con su probabilidad de ocurrir.
Esta cuestión es un paradigma, pues los datos relacionados con el sector de la salud son sensibles y se recomienda el acceso sólo a los datos estrictamente necesarios para la prosecución de la función del colaborador. En estas situaciones, para mantener la confidencialidad e integridad de los datos, le aconseja el uso de una herramienta de enmascaramiento de datos, como el Datapeers.
La regulación crea barreras adicionales a las prácticas actuales de recolección y procesamiento de datos en Portugal, la introducción de normas más estrictas para las empresas con respecto a dar su consentimiento a la recogida y tratamiento de datos personales. Las empresas tienen que considerar la creación de un contrato con el titular de los datos, el cumplimiento de obligaciones jurídicas y la defensa de intereses vitales del titular de los datos. Con el nuevo reglamento, un contacto de una tarjeta de visita, por ejemplo, no podrá ser incluido en ninguna base de datos sin el consentimiento explícito de su titular. En términos prácticos, el uso de cajas previamente seleccionadas, la ausencia de respuestas, la inactividad y el consentimiento a través de términos y condiciones dejarán de ser permitidos, pues ninguno de los medios presentados es considerado un medio de demostración del cumplimiento de los requisitos de consentimiento del nuevo Reglamento.
El ciudadano lesionado y la Comisión Nacional de Protección de Datos.
No, hay que haber un consentimiento explícito por parte de los ciudadanos.
La encriptación no es obligatoria. Cabe a las empresas dotarse de los mecanismos necesarios para garantizar la protección y confidencialidad de los datos.
Acerca del autor