El 25 de mayo de 2018 está previsto que entre plenamente en vigor el Reglamento 679/2016, más conocido como el Reglamento General de Protección de Datos (RGPD). Se trata de una norma llamada a revisar profundamente los procesos que las empresas aplican a la recogida y tratamiento de datos. Precisamente teniendo en cuenta el esfuerzo de adaptación que dicha norma requerirá, el legislador comunitario nos citó de aquí a un año para empezar a exigir el pleno cumplimiento de este nuevo entorno legal.

Cabe recordar que durante los próximos doce meses los responsables de ficheros que contengan datos de carácter personal deberán considerar, entre otros ámbitos, las siguientes acciones:

  • Revisión, desde la fase de diseño y su posterior puesta en producción, de los procesos y documentos utilizados para la recogida y tratamiento de datos personales, a fin de procurar su adecuación al nuevo marco establecido por el RGPD. Así, por ejemplo, deberán revisarse los textos de las cláusulas informativas y políticas de privacidad existentes, a fin de verificar si incluyen los nuevos deberes informativos exigidos por el RGPD y, en particular, asegurar que los mismos informan adecuadamente de los nuevos derechos que ostentan los afectados por el tratamiento.
  • Diseño de procedimientos internos para la correcta atención de los derechos básicos reconocidos a los afectados con particular atención a la problemática propia del derecho al olvido y el derecho a la portabilidad.
  • Nombrar, si es preciso -atendiendo a las actividades de la compañía en cuestión- un delegado de protección de datos (“Data Protection Officer”), a fin de asegurar el cumplimiento de todas las obligaciones que el Reglamento General de Protección de Datos canaliza a través de esta nueva posición, llamada a convertirse en el punto de referencia para el tratamiento de cualquier cuestión vinculada al ámbito de la protección de datos personales.
  • Decidir si aplica la obligación de dotarse del denominado registro de actividades del tratamiento (novedad introducida por el RGPD y que viene a complementar el ya clásico documento de seguridad previsto en la normativa nacional preexistente). En caso de aplicar, dicho documento deberá describir de forma completa todas las actividades vinculadas con el tratamiento de datos personales que se desarrollen en el marco de la correspondiente empresa.
  • Redacción o revisión jurídica de los contratos de encargo de tratamiento, a fin de asegurar que tales contratos contemplan las nuevas obligaciones previstas en el RGPD y que antes dependían de la voluntad de las partes.
  • Revisión de los procesos de transferencia de datos fuera del Espacio Económico Europeo, incluyendo la adecuación de acuerdos de transferencia internacional de datos al nuevo marco definido por el RGPD.
  • Definición de los procesos de realización de evaluación de impacto de las operaciones de tratamiento de datos que entrañen un alto riesgo, conforme a lo establecido por el RGPD, así como -en su caso- la realización de una consulta previa a la autoridad competente, en caso de ser necesaria.

Como podrá comprobarse, se trata de una larga lista de deberes para este año que queda. Así, la inclusión de este tema en la agenda legal de las empresas se va a convertir en algo inevitable durante los próximos doce meses.