Cómo cumplir el RGPD (II)
CAMBIOS MÁS IMPORTANTES:ÁMBITO DE APLICACIÓN
Actualmente hay 28 grupos diferentes de leyes de protección de datos en la Unión Europea. El RGPD sustituirá a todas ellas con un marco reglamentario paneuropeo. Como Reglamento, se aplicará directamente en todos los estados miembros sin la necesidad de legislación nacional adicional.
Para las organizaciones que operan en varios estados miembros en la UE, esta armonización ha sido muy bien recibida. Sin embargo, lógicamente surgirán algunas discrepancias nacionales y sobre todo porque los estados miembros tienen derecho a modificar algunas de las obligaciones del Reglamento, como por ejemplo:
- Empleo: los estados miembros pueden introducir más restricciones al tratamiento de los datos de los empleados.
- Seguridad nacional: los estados miembros pueden aprobar una ley para limitar los derechos según el Reglamento en áreas tales como la seguridad nacional, delitos y los procedimientos judiciales.
ALCANCE TERRITORIAL
El RGPD se aplica a todas las organizaciones de la UE, ya sean empresas o autoridades públicas, que recopilen, almacenen o traten datos personales de ciudadanos de la UE. También se aplica a las organizaciones que, teniendo su sede fuera de la UE, monitorizan u ofrecen productos y servicios a las personas en la UE, por lo que tendrán que seguir las nuevas normas europeas y acatar el mismo nivel de protección de datos personales.
El Reglamento también exige que dichas organizaciones, responsables y encargados del tratamiento, nombren un representante en la UE con sede en uno de los estados miembros en los que estén radicadas las personas de las que tratan sus datos a no ser que el tratamiento de datos sea ocasional y no incluya el tratamiento a gran escala de categorías especiales de datos, como los datos de salud por ejemplo, o el tratamiento de datos relativos a condenas y delitos penales.
VENTANILLA ÚNICA
Las organizaciones solo tendrán que tratar con una única autoridad de control, no una para cada uno de los 28 estados miembros de la UE, tal como se ha hecho hasta ahora, haciendo que sea más sencillo y económico para las empresas hacer negocios dentro de la UE.
Una organización que realice un tratamiento transfronterizo debe estar regulada principalmente por la autoridad de control donde tenga su establecimiento principal (la autoridad de control principal).
OBLIGACIONES DE LOS ENCARGADOS DEL TRATAMIENTO (ET)
El Reglamento también introduce obligaciones para los encargados del tratamiento de los datos, es decir, para los prestadores de servicios que tratan datos personales en nombre de los responsables, aunque en su mayoría ya estaban contempladas en nuestra normativa actual.
Cuando un responsable del tratamiento contrate los servicios de un encargado del tratamiento, éste debe ser capaz de ofrecer "garantías suficientes para aplicar medidas técnicas y organizativas apropiadas", que garanticen que el tratamiento cumplirá el RGPD y que se protegen los derechos de los interesados. Un ET no puede subcontratar trabajo a un segundo encargado sin la autorización explícita del responsable.
Los acuerdos contractuales tendrán que actualizarse y será imperativo estipular las responsabilidades y obligaciones entre el responsable y el encargado en los futuros acuerdos. Las partes tendrán que documentar sus responsabilidades en el tratamiento lo que puede llegar a suponer un aumento en los costes del servicio debido a la asunción de riesgos más elevados por parte de los encargados.