10 diferencias con el nuevo reglamento europeo de protección de datos – Aselac
  • 915 09 87 61
  • info@aselac.com

10 diferencias con el nuevo reglamento europeo de protección de datos

10 diferencias con el nuevo reglamento europeo de protección de datos

ACTUAL LOPD Y SU REGLAMENTO

 

 

 

1.- Inscripción de ficheros en registro de la Agencia Española de Protección de Datos.

 

2.- Redacción de un Documento de Seguridad.

3.- Aplicación de medidas de seguridad básicas, medias y altas dependiendo del tipo de dato.

 

 

 

 

 

 

 

 

 

4.- Auditoría bienal de medidas de seguridad si se tratan datos de nivel medio o alto.

 

 

 

 

 

 

 

 

 

 

 

5.- Derechos arco (acceso, rectificación, cancelación y oposición).

6.- Deber de información (identificación del responsable del fichero, de la finalidad del tratamiento, de la existencia de derechos arco y del modo de ejercerlos).

7.- Consentimiento expreso y tácito

 

8.- Encargado de tratamiento (Contrato de acceso a datos).

 

 

 

9.- Responsable de seguridad (necesario nombrarlo internamente cuando se traten ficheros de nivel medio y alto).

 

 

 

 

 

 

 

 

10.- Las transferencias internacionales fuera de Europa y de países seguros, requiere autorización de la Directora de la Agencia.

NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS

1.- Ya no hará falta inscribir ficheros sino llevar un control de las bases de datos. Se puede basar en los ficheros ya inscritos.

2.- Ya no es necesario. Sin embargo si se exige tener Políticas y procedimientos de seguridad.

3.a – La aplicación de las medidas de seguridad ya no depende del dato en sí, sino del tipo de tratamiento de datos (número de datos afectados, ámbito geográfico, tratamiento de datos sensibles, análisis de perfil de titulares, etc.)

3.b.-Hay que hacer un análisis de riesgo previo basado en el tratamiento de datos pudiendo dar dos opciones: tratamiento de alto impacto o de bajo impacto.

3.c.- Si el tratamiento es de alto impacto hay que realizar una evaluación de impacto de privacidad basado en los principios de la protección de datos.

4.- No existe un deber directo del reglamento europeo pero si indirecto de hacer revisiones anuales. La Agencia ha dicho que se tiene que implantar medidas de seguridad y que para ello podemos acudir a modelos de estándares internacionales o nacionales (ISO 27002, Esquema Nacional de Seguridad, etc.). Sea el que sea, toda política de seguridad exige su revisión periódica. Seguramente se haga anualmente.

Aunque el reglamento europeo no hace mención de manera tan detallada a las medidas de seguridad, sí se hace mención a la notificación de medidas de seguridad, cifrado, anonimización, etc.

5.- Derechos arco + limitación del tratamiento + impugnación de valoraciones + portabilidad + olvido.

6.- Se amplía el deber de información a otros aspectos (cesionarios, base jurídica del tratamiento, transferencias internaciones, representante legal, delegado de protección de datos, etc.)

7.- Sólo consentimiento expreso

8.- Encargado de tratamiento (Contrato de acceso a datos con un contenido más amplio existencia de un deber de diligencia de escoger encargados de tratamiento que cumplan con la normativa de protección de datos y se establecen obligaciones específicas para los encargados de tratamiento).

9.- Nombramiento de un Delegado de

Protección de datos en 3 supuestos:

a.- Autoridades y organismos públicos.

b.- Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.

c.- Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles Dicho delegado debe aparecer en el deber de Información.

10.- No requerirán autorización de la Directora de la Agencia en el caso de que se disponga de “Normas corporativas vinculantes”, “cláusulas contractuales estándar”, “códigos de conducta” o “esquemas de certificación”.

Admin

Deja tu mensaje