Reglamento de protección de datos - GDPR

2018 — 2018

¿En qué normas se concreta esta iniciativa?

En un reglamento de protección de datos (Reglamento (UE) 2016/679, aprobado el 27 de abril de 2016) que derogó la Directiva 95/46/CE y que resulta directamente aplicable en los Estados miembros, sin necesidad de incorporación a través de regulación local (ver el apartado de documentos vinculados).

Esta iniciativa se conoce por sus siglas en inglés como GDPR (General Data Protection Regulation).

¿Cuáles son las fechas clave?

El reglamento se aplicó directamente en mayo de 2018 y faculta a los Estados miembros para mantener o adoptar disposiciones nacionales que especifiquen en mayor grado la aplicación de las normas contenidas en él. Así, en diciembre de 2018, se aprobó la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales. Esta ley constituye un desarrollo o complemento del reglamento, que clarifica sus disposiciones, con la adaptación de sus principios a la propia tradición jurídica española en la materia y a la doctrina judicial, y depura el ordenamiento nacional.

¿A qué entidades financieras afecta?

A todas las entidades financieras.

¿Cuáles son los principales impactos?

El reglamento de protección de datos:

  • obliga a crear la figura del delegado de protección de datos (DPO o data protection officer);
  • requiere a las entidades que realicen una evaluación de impactos (PIA o privacy impact assessment) en ciertos supuestos (los PIA consisten en analizar los riesgos del tratamiento de los datos, prever medidas correctoras e implantar controles que eviten ulteriores impactos negativos en la privacidad, antes de iniciar un tratamiento de datos);
  • obliga a notificar las violaciones de seguridad en 72 horas al órgano de control o, si es de alto riesgo, a los interesados;
  • prevé la necesidad de “consentimiento claro y afirmativo” de la persona concernida al tratamiento de sus datos personales;
  • eleva notablemente las cuantías de las sanciones, que pueden alcanzar hasta 20.000.000 de euros o el 4 % del volumen de negocio total anual global del ejercicio financiero anterior;
  • regula el derecho al olvido mediante la rectificación o supresión de datos personales y el derecho a la portabilidad de datos de un proveedor de servicios a otro;
  • se aplica al procesamiento de datos de europeos por entidades establecidas en Europa, pero también por aquellas empresas situadas fuera de la Unión Europea, incluso aunque no tengan presencia física en el territorio de la Unión.

Si desea más información, no dude en contactar con finReg360 por cualquiera de las vías disponibles (ver pie de página).

 

Alertas Relacionadas