En esta entrada, vamos a abordar quien debe de cumplir con el Reglamento General de Protección de Datos, que pasaría si no se cumple y a rasgos generales en qué consiste o como se implementa el mismo en una organización.
¿Quién debe de cumplir con el Reglamento?
Para aquellos que no lo sepáis, el Reglamento General de Protección de Datos, lleva en aplicación efectiva desde mayo de 2018.
Según se establece en su art. 13, deberán cumplirlo:
Las empresas, sociedades, comunidades, asociaciones y autónomos:
- Establecidos en la UE independientemente de si el tratamiento se hace o no en la UE;
- Que monitorizan el comportamiento de las personas que se encuentran en la UE;
- Que ofrecen bienes o servicios a personas que se encuentren en la UE.
¿Qué pasa si no cumplo con el Reglamento General de Proteccion de Datos o RGPD?
Cualquier ciudadano de la UE tiene derecho a presentar reclamaciones de forma individual o colectiva si considera que el tratamiento de sus datos personales vulnera el RGPD.
Artículo 82 Derecho a indemnización y responsabilidad
1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción, tendrá derecho a recibir una indemnización por los daños y perjuicios sufridos.
2. El Responsable de protección de datos, responderá de los daños y perjuicios causados cuando realice tratamientos que no cumplan con el Reglamento General de Protección de Datos.
Ocurre igual con un Encargado del tratamiento.
3. El responsable o encargado del tratamiento estará exento de responsabilidad si demuestra que no es responsable del hecho que haya causado los daños y perjuicios.
4. Cuando más de un responsable o encargado del tratamiento, hayan participado en la misma operación de tratamiento, serán considerados responsables de todos los daños y perjuicios..
5. Un Responsable o encargado tendrá derecho a reclamar la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados.
6. Las acciones judiciales en ejercicio del derecho a indemnización se presentarán ante los tribunales competentes.
Las autoridades podrán investigar y corregir las infracciones, podrán ordenar al responsable o al encargado que facilite información, lleve a cabo auditorías u obtenga acceso a los datos, locales y equipos.
Las sanciones por infracción podrán ir, desde advertencias si la infracción es posible, apercibimientos y limitaciones temporales, hasta prohibir el tratamiento, ordenar supresión de datos e imponer multas.
¿En qué consiste la implantación del Reglamento?
Entre otros puntos, para todo tipo de tratamientos, a nivel organizativo habrá que:
- Realizar una evaluación de Riesgos.
- Adecuar tus procedimientos y canales para informar, recabar el consentimiento, permitir el ejercicio de los derechos y notificar en caso de brecha de seguridad que afecte a la privacidad.
- Revisar los contratos con los encargados del tratamiento si los tuvieras.
- Poner en marcha políticas para garantizar la seguridad de los tratamientos.
- Revisar tu página web
- Formar y concienciar a todos los empleados que intervengan en los tratamientos.
- Establecer procedimientos ante brechas de seguridad.
Para determinados casos habrá que implementar la figura del delegado de protección de datos y hacer una evaluación de impacto en caso que en la evaluación de riesgo de determine un algo riesgo.
Enlaces externos:
En los siguientes enlaces, podreis encontrar información sobre el Reglamento General de Protección de Datos tanto del BOE como del INCIBE
