La nueva normativa refuerza la protección de los datos personales al complementar directivas como la 2002/58/CE. Define las responsabilidades de los responsables del tratamiento y los derechos de los individuos, abarcando áreas no abordadas anteriormente. Para garantizar el cumplimiento, las organizaciones deben preparar un diagnóstico RGPD eficaz siguiendo un enfoque estructurado.
Reglas específicas para los empleados
Los Estados miembros pueden establecer normas a través de leyes o convenios colectivos para:
Consentimiento: Condiciones para la contratación y la gestión de contratos.
Obligaciones: Cumplimiento de leyes y convenios colectivos.
Políticas: Gestión de datos relacionados con la igualdad, la salud y la seguridad.
Derechos de los empleados: Protección de beneficios individuales y colectivos.
Rescisión: Gestión de datos al finalizar el contrato.
Interacción con las directivas existentes
El reglamento complementa la Directiva 2002/58/CE. Se prevé una revisión de esta directiva para evitar solapamientos e integrar los avances tecnológicos.
¿Por qué es crucial una protección coherente?
La UE debe garantizar una protección uniforme, ya que las leyes nacionales por sí solas son insuficientes. Un marco armonizado facilita los flujos transfronterizos, estimula la innovación y permite abordar desafíos internacionales.
Consentimientos existentes e investigación científica
Los consentimientos otorgados bajo la Directiva 95/46/CE siguen siendo válidos si cumplen con los nuevos estándares. Para la investigación científica, el reglamento protege la privacidad al tiempo que fomenta el avance del conocimiento, con condiciones especiales para datos sensibles.
Investigación histórica y genealógica
El tratamiento de datos para la investigación histórica, incluida la genealógica, está regulado para proteger la confidencialidad. Los datos de personas fallecidas no están sujetos a estas normas.
Medidas de protección
Las organizaciones deben:
Minimizar la recopilación de datos.
Utilizar cifrado y seudonimización.
Realizar evaluaciones de impacto periódicas.
Gestionar los derechos de los individuos de manera transparente.
Prevención de violaciones
Para evitar infracciones, se recomienda:
Evaluar los riesgos.
Cifrar los datos.
Implementar controles de acceso estrictos.
Elaborar planes de respuesta ante incidentes.
Preparación de un diagnóstico RGPD
Un diagnóstico RGPD bien estructurado permite identificar incumplimientos y establecer acciones correctivas. Las etapas clave incluyen:
Definir el alcance: Identificar los tipos de datos tratados, los procesos involucrados y los departamentos afectados.
Recopilar documentos: Reunir políticas de privacidad, registros de tratamiento, evaluaciones de impacto (PIA) y contratos con subcontratistas.
Involucrar a los equipos clave: Colaborar con el DPO, los responsables de los departamentos relevantes (RRHH, TI, Marketing) y el personal de seguridad de datos.
Establecer un calendario: Planificar las etapas del diagnóstico, incluida la recopilación de información, entrevistas y entrega del informe final.
Preparar a los equipos: Formar a los empleados en los requisitos del RGPD y sensibilizarlos sobre las mejores prácticas en protección de datos.
Responsabilidades de los responsables del tratamiento
Deben:
Implementar medidas de cumplimiento adecuadas.
Documentar y evaluar los riesgos regularmente.
Garantizar la transparencia y realizar auditorías.
Integrar la protección de datos desde el diseño.
En resumen
Esta normativa refuerza la protección de los datos personales al tiempo que facilita las necesidades operativas y fomenta la innovación dentro de un marco armonizado y respetuoso con los derechos individuales. La preparación de un diagnóstico RGPD es esencial para garantizar un cumplimiento duradero y una mejor gestión de los datos personales.
