Las 5 ideas clave que se trataron.
Aquí os dejamos textualmente lo indicado por la Agencia y unos comentarios al respecto de cada idea principal allí tratada.
1º - Renovación del Consentimiento
En la semana del 25 de mayo se envió un gran volumen de comunicaciones a los ciudadanos que, con carácter general solicitaban renovar el consentimiento con el argumento de que es necesario para cumplir con el nuevo Reglamento, la Agencia recordó que el RGLOPD no obliga a renovar el consentimiento, siempre y cuando éste se hubiese recogido cumpliendo los requisitos del Reglamento, o si la base jurídica del tratamiento es una relación contractual previa.
Sí sería necesario renovar el consentimiento si se obtuvo de modo tácito o se pretenden realizar nuevas finalidades.
Comentarios: Los Centros de Reconocimiento de Conductores debemos recabar de nuevo el consentimiento, la mejor forma de hacerlo no es realizar un envío masivo a todos sus clientes, sino enviarlos progresivamente e informarle de que solicitamos su consentimiento para poder avisarle de la ducidad de su permiso, en todas las comunicaciones debéis dar la oportunidad de revocar el consentimiento al interesado.
2º - Cuidado con los Asesores de Protección de Datos
La Agencia alerta de un gran número de ofertas de asesoramiento para la adaptación al RGLOPD y que en ocasiones únicamente se facilita documentación que crea una apariencia de cumplimiento sin incluir las actuaciones necesarias para verificar el mismo, en otras se ofrece la figura del DPD a empresas que no lo necesitan o bien se genera una apariencia de estar actuando en colaboración con la autoridad de protección de datos sin que sea cierto.
Comentarios: Con el nuevo Reglamento, ya no se cumple la protección de datos solo teniendo una documentación, recordad que el alta de ficheros y el documento de seguridad se suprimen, se ha simplificado la documentación legal para darle la importancia a lo que realmente la tiene, la protección de los datos personales, debemos incorporar la protección de datos a nuestro trabajo diario, conocer los riesgos de los tratamientos que hacemos, tomar medidas de seguridad y comprobar que se realizan.
Sepan que si contratan un servicio de Asesoría en materia de protección de datos que le determine los tratamientos, riesgos y medidas de seguridad, no estarán cumpliendo con el nuevo reglamento, si no interiorizan y aplican el nuevo enfoque que introduce el Reglamento, la responsabilidad pro-activa.
3º El comienzo de la adaptación al Reglamento: El Registro de Actividades de Tratamiento.
La Agencia de protección de datos, indica que la elaboración de este Registro de Actividades de Tratamiento puede ser considerado un primer paso de gran relevancia para la adaptación, ya que supone revisar los tratamientos que se están realizando dando lugar a una actualización de los mismos.
Comentarios: Efectivamente el Registro de Actividades es el primer paso y la base sobre la que se sustenta todo el Sistema de Gestión del Riesgos, ¿Cuáles son los tratamientos de datos de carácter personal que realizamos?, es la primera pregunta que cada Responsable debe hacerse para comprender que riesgos conllevan esos tratamiento y como poder eliminarlos.
4º Códigos de Conducta.
La Agencia impulsará la elaboración de códigos de conducta, un mecanismo de autorregulación para el cumplimiento del RGLOPD, la Agencia se muestra convencida de que se trata de un instrumento que va a permitir un correcto cumplimiento del RGLOPD y que proporcionará seguridad jurídica a las entidades adheridas.
Comentarios: Ya estamos trabajando con las Asociaciones suscritas, en la elaboración de Códigos de Conducta para los Centros de Reconocimiento inscritos, que ayuden al cumplimiento del RGLOPD, y mejore la imagen de todos los Centros inscritos. (Infórmese sobre este método en www.rglopd.com)
5º Sanciones
La Agencia ha incidido en que existen medidas como la advertencia o un apercibimiento dotado de una mayor flexibilidad, que pueden adoptarse en lugar de una sanción económica, pese a producirse un error, cuando se aprecie y documente una adecuada diligencia en el cumplimiento del RGLOPD. También deja la posibilidad de imponer medidas como la limitación del tratamiento realizado, que impediría al responsable continuar con estos tratamientos.
Comentarios: La Agencia deja claro que el principal objetivo que se persigue con este cambio es que los Responsables tomen conciencia real de este nuevo enfoque, sean responsables conscientes y transparentes con el usuario, y aunque se diera un error, siempre que se pudiera demostrar, que se está trabajando pro-activamente en la protección de los datos personales, se emplearían medidas de advertencia sin tener que llegar necesariamente a la sanción económica.
El mensaje queda claro, ser conscientes, responsables y transparentes con los datos personales que tratamos.
Desde General ASDE, les recomendamos activamente que se interesen por los cambios que introduce el nuevo reglamento, ya que supone un gran cambio de enfoque.
Por último, les recordamos que ustedes por tener el programa GIC actualizado ya disponen del Consentimiento Informado adecuado al nuevo Reglamento, puede acceder a la noticia que hemos publicado sobre el Consentimiento Informado para conocer y profundizar en los cambios y cumplir así con el nuevo enfoque del Reglamento con respecto al Deber de Informar.
Por: Iván Piqueras Espinosa
Delegado de Protección de Datos
General ASDE,
Juntos seguimos avanzando
Pueden consultar la nota de prensa en:
https://www.aepd.es/comunicacion/xotf/prensa/2018-06-05-ides
Noticia General ASDE: implementar consentimiento Informado.
http://www.generalasde.com/webASDE/noticia-general-asde-y-el-nuevo-reglamento-europeo-de-proteccion-de-datos
