RGPD – Obligaciones Específicas de tratamiento en el ámbito Digital
El Reglamento General de Protección de Datos -Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) configuran conjuntamente el desarrollo del derecho fundamental a la protección de datos de carácter personal.
Aplicar los principios relativos al tratamiento.
Las organizaciones y empresas deberán informar de forma clara y sencilla sobre los aspectos más importantes del tratamiento de sus datos, identificando quién los trata, con qué base jurídica, para qué finalidad, y sobre la forma de ejercer sus derechos. No podrá denegarse el ejercicio de estos derechos en el caso de que la persona quiera ejercitarlos por un procedimiento o cauce diferente al que se le ofrezca (artículos 13 y 14 RGPD y 11 LOPDGDD)
Garantizar la licitud del tratamiento
Así mismo, estarán obligadas a garantizar la licitud del tratamiento de los datos de clientes, su personal, ciudadanos y ciudadanas sobre la base de alguna de las causas contempladas en el artículo 6 y también, en caso de categorías especiales de datos personales (datos de salud, de carácter político o sindical, relativos a la vida sexual, etc.), en su artículo 9, ambos del RGP.
Designar un Delegado de Protección de Datos (DPD)
Las organizaciones privadas deberán designar, en los supuestos legalmente exigibles, y las entidades del sector público, en todo caso, a una persona como Delegado/a de Protección de Datos que cuente con la debida cualificación, garantizándole los medios necesarios para el ejercicio de sus funciones de manera independiente, debiendo comunicar la designación a la Agencia Española de Protección de Datos (artículos 37 a 39 RGPD, y 34 a 36 LOPDGDD).
La organización o empresa, ofrecerá todo el apoyo necesario al DPD para que pueda atender en las mejores condiciones las reclamaciones que le dirijan los ciudadanos y ciudadanas cuando opten por esta vía antes de plantear una reclamación ante la AEPD, o en los casos en que la AEPD decida su traslado a la persona responsable con carácter previo a su admisión a trámite (artículo 65.4 LOPDGDD).
Aplicar la privacidad “desde el diseño por defecto.
Las organizaciones deberán aplicar, tanto a la hora de determinar los medios de tratamiento como en el momento del propio tratamiento, es decir, “desde el diseño”, medidas técnicas y organizativas apropiadas, e integrar las garantías necesarias en el tratamiento, a fin de cumplir eficazmente las obligaciones legales y proteger los derechos de las personas afectadas (artículo 25.1 RGPD). Asimismo, promoverán la aplicación de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad (artículo 25.2 RGPD),el incumplimiento de estas obligaciones específicas, podrá dar lugar a responsabilidades en el ámbito digital.
Departamento de Consultoría