Togas.biz

El Reglamento UE 2016/679 General de Protección de Datos será aplicable a partir de mayo de 2018. Al tratarse de un Reglamento será de directa aplicación en todos los estados miembros. La interpretación de las obligaciones se ha plasmado por parte de la Agencia Española de Protección de Datos en una serie de guías que permitirá a los Responsables de tratamiento conocer cómo les afectan los cambios.

Las guías son tres:

1.- Guía para el cumplimiento del deber de informar.
2.- Directrices para la elaboración de contratos entre responsables y encargados de tratamiento.
3.- Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento.

Esta última guía contiene además una lista de verificación que a modo de check list muy básico, permitirá a las organizaciones valorar los cambios y reflexionar sobre su nivel de cumplimiento.

La primera de las guías nos proporciona las pautas muy claras de cómo deberán ser las cláusulas de información con arreglo al nuevo Reglamento ya que se introducen nuevas obligaciones como la de informar sobre los tiempos de conservación, la identificación del delegado de protección de datos cuando exista, la base jurídica o legitimación para el tratamiento, la existencia de decisiones automatizadas o elaboración de perfiles, la previsión de transferencias a terceros países y el derecho a presentar una reclamación ante la autoridad de control…

Sin perjuicio de que en los siguientes posts vayamos “desmenuzando” el contenido de las guías, destacamos con respecto al deber de información la sugerencia de informar POR CAPAS.

Para cumplir con el requerimiento de informar de todo lo que exige la nueva legislación, una información mostrada en dos niveles puede ser muy eficaz de forma que:

  • Se presente una información básica en un primer nivel de una forma resumida y en la que se remita al
  • Segundo nivel en el que se encontrará la información desarrollada y detallada.

Movido por un principio de transparencia y de responsabilidad proactiva, la mentalidad del responsible ha de ser la de proporcionar la máxima información sobre el tratamiento de datos que vaya a realizarse en el momento de la recogida: a través de formularios, en papel o digitales, documentos, locuciones telefónicas, etc.

Se dice expresamente que el lenguaje deberá ser claro y sencillo.

En cuanto a los contratos entre responsables y encargados de tratamiento la Agencia nos ofrece un ejemplo de claúsulas contractuales para contratos de encargo de tratamiento así como indicaciones precisas sobre el contenido de estos contratos.

De todo esto nuestra reflexión vuelve a ser la que mantenemos desde hace algunos posts: el tránsito al nuevo Reglamento no será traumático para aquellas organizaciones verdaderamente comprometidas con el cumplimiento y la privacidad y que hayan hecho de la responsabilidad proactiva un principio corporativo.

Por el contrario creeemos que puede haber mucho por hacer en muchas organizaciones donde la LOPD se adoptó como un mero trámite y se limitaron, en el mejor de los casos, a cumplir formalmente sus previsiones.

Queda tiempo hasta mayo de 2018 pero tampoco hay que perder de vista la fecha. Invitamos a confeccionar una hoja de ruta con los pasos a dar, los cambios a realizar y orientar a la organización al nuevo Reglamento sin prisas pero sin pausa.

Paz Martín

Fuente: Herrero & Asociados

Source