La AEPD, en su nota de prensa “Implicaciones prácticas del Reglamento General de Protección de Datos para entidades en el periodo de transición”, recomienda a las empresas que vayan adaptando sus procesos al nuevo Reglamento de protección de datos (GDPR) para afrontar el momento en el que el Reglamento sea aplicable:
El nuevo Reglamento solo permite el consentimiento explícito del interesado para realizar un tratamiento, excluyendo el hasta ahora permitido consentimiento tácito, por lo que, según la AEPD los consentimientos tácitos “sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando los criterios fijados por el propio Reglamento”, o sea que no va a cumplir ninguno.
La AEPD aconseja empezar ya a revisar los tratamientos que se basen en este tipo de consentimiento para adecuarlos al Reglamento, ya que a partir de la aplicación definitiva del GDPR, el 25 de mayo de 2018, “sólo tendrán legitimación suficiente los tratamientos basados en el consentimiento inequívoco, con independencia de cuándo se haya obtenido ese consentimiento”.
Recordar que los tratamientos efectuados por una obligación legal del Responsable del tratamiento (por ejemplo la emisión de una factura) no precisan de consentimiento explícito.
Para más información sobre el consentimiento, consultar el artículo de este mismo web: El consentimiento explícito en el GDPR
La AEPD aconseja a las empresas que “adapten sus políticas informativas a lo dispuesto por el Reglamento incorporando sin dilación las cuestiones adicionales que actualmente no son requeridas por la normativa española a las informaciones que se proporcionan a los interesados”.
En este sentido, el Reglamento dispone que se debe informar:
Para más información, consultar el artículo de este mismo web: La información del tratamiento en el GDPR
Las evaluaciones de impacto deberán realizarse cuando sea probable que exista un alto riesgo para los derechos y libertades de los interesados con el objetivo de minimizar dichos riesgos. La AEPD “considera que no debería esperarse a la fecha en que la realización de las evaluaciones resulte obligatoria para comenzar a utilizar esta herramienta, ya que requiere de preparación, elección de la metodología adecuada, identificación de los equipos de trabajo y otra serie de condiciones que no pueden improvisarse”.
Aunque la AEPD podrá establecer una lista de los tipos de tratamiento que requieren una evaluación de impacto, mientras esto no suceda, las empresas que realicen tratamientos que traten una cantidad considerable de datos personales que afecten a un gran número de ciudadanos (a gran escala) o que prevean un alto riesgo, ya deberían proceder a analizar dichos riesgos y proceder a realizar una evaluación de impacto.
Una evaluación de impacto debe analizar la necesidad y proporcionalidad del tratamiento con respecto a su finalidad, los riesgos para los derechos y libertades de los interesados, los mecanismos destinados a garantizar la protección de datos y las medidas de seguridad previstas para afrontar los riesgos del tratamiento desde el diseño y por defecto en cualquier fase del tratamiento.
Para más información, consultar el artículo de este mismo web: La evaluación de impacto en el GDPR
Aunque en el artículo de la AEPD se habla de que “el Reglamento concede una atención especial a la implantación de esquemas de certificación”, la verdad es que por ahora estos mecanismos de certificación no existen y no se podrán solicitar hasta que las Autoridades competentes en protección de datos los hayan establecido.
La obtención de un Certificado, Sello o Marcado de Protección de Datos por parte del Responsable o Encargado del tratamiento podrá garantizar el cumplimiento del Reglamento durante un período máximo de 3 años y podrá ser renovado si se siguen cumpliendo los requisitos exigidos por el organismo acreditado que lo suministre.
Para más información, consultar el artículo de este mismo web: Garantías de cumplimiento en el GDPR
La AEPD “considera que no es oportuno establecer un sistema de certificación de Delegados de Protección de Datos que opere como requisito para el acceso a la profesión” y está en fase de valorar la posibilidad de promover la acreditación de entidades de certificación de DPO.
A parte de esta acreditación, que si se establece será muy útil para el sector, destacamos que el Responsable o Encargado del tratamiento solo tendrán la obligación de designar un DPO cuando su actividad principal contemple tratamientos a gran escala de observación habitual y sistemática de interesados, categorías especiales de datos o datos relativos a condenas e infracciones penales.
Para más información sobre DPO, consultar el artículo de este mismo web: Obligación de designar un DPO
La AEPD recomienda que se deberían revisar “los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, de forma que en mayo de 2018 sean compatibles con las disposiciones del Reglamento” e “incluir en las nuevas cláusulas contractuales todos los elementos que el Reglamento considera necesarios”.
En este sentido, será imprescindible diseñar un nuevo tipo de contrato que contemple las disposiciones que el GDPR obliga a detallar en el mismo:
Para más información sobre el Encargado del tratamiento, consultar el artículo de este mismo web: El Encargado del tratamiento en el GDPR
Buena labor la de la AEPD que está trabajando “en la preparación de herramientas que ayuden a Responsables y Encargados al entendimiento y cumplimiento del Reglamento”.
Para más información sobre herramientas para el entendimiento y cumplimiento del reglamento, consultar el artículo de este mismo web: Libro - Guía del nuevo Reglamento Europeo de Protección de Datos (GDPR)
Aunque la AEPD va realizando escritos de vez en cuando sobre cómo adaptarnos al nuevo Reglamento, se echa en falta más concreción sobre cada asunto tratado.
En este blog de Ateneu Privacy Consulting se irán tratando las disposiciones del GDRP en toda su extensión y complejidad para un buen razonamiento de aplicación del nuevo Reglamento.