El próximo mayo entrará en vigor el nuevo Reglamento Europeo de Protección de Datos. Tras este nuevo Reglamento, se hace necesaria la elaboración de una nueva Ley Orgánica de Protección de Datos que sustituya a la actual, pero ya sabemos que afectará a las Comunidades de Propietarios modificando o ampliando derechos y responsabilidades.
Los Derechos del interesado se amplían
- Derecho de Acceso, Rectificación y Supresión (derecho al olvido)
- Derecho a la limitación del tratamiento
- Derecho a la portabilidad de los datos
- Derecho de Oposición
Principio de responsabilidad proactiva
Es una de las principales novedades, no se desarrollan las medidas que se tienen que tomar en la protección de los datos, pero sí se especifica que deben ser MEDIDAS APROPIADAS y DEMOSTRABLES. Estas medidas quedan bajo la responsabilidad y criterio del responsable del tratamiento de datos y/o el encargado del tratamiento de datos.
Se modifican los niveles de seguridad a adoptar según el tipo de datos
Con la puesta en marcha del nuevo Reglamento, se sustituyen los actuales por los niveles de riesgo: BAJO RIESGO y ALTO RIESGO
Se deberá hacer un análisis de riesgo en función de los tipos de tratamientos, la naturaleza de los datos, número de afectados y la cantidad y variedad de tratamientos. En las Comunidades de Propietarios, el análisis será el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.
Desaparece la notificación de ficheros en la A.E.P.D.
Ya no será obligatorio dar de alta los ficheros de datos en la Agencia Española de Protección de Datos, en su lugar nace la obligación de elaborar la documentación de actividades de tratamiento de datos personales, un conjunto que la comunidad, a través del encargado del tratamiento deberán impulsar y tener documentadas “a disposición” de la Agencia Española de Protección de Datos. Con este cambio, el responsable del fichero pasará a llamarse “Responsable del Tratamiento de Datos”, pero no cambian sus obligaciones ni responsabilidades.
Comunicación de incidencias a la autoridad competente
Se deberá comunicar a la autoridad competente (A.E.P.D.) en un plazo máximo de 72 horas, todo incidente que ocasione: la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Como puede ser la pérdida de un USB con datos personales, el borrado accidental de datos o el acceso no autorizado (hackeo).
Sanciones
El nuevo Reglamento General de Protección de Datos clasifica las sanciones en sus artículos 83.4 y 83.5 en:
- Menos graves: multa administrativa de un máximo de 10 millones de euros o un 2% del volumen de negocio anual del ejercicio financiero anterior en el caso de las empresas.
- Más graves: multa administrativa de un máximo de 20 millones de euros o un 4% del volumen de negocio anual del ejercicio financiero anterior en el caso de las empresas.
Tras la entrada en vigor del nuevo Reglamento General de Protección de Datos iremos ampliando y desarrollando los cambios más significativos que afecten a las Comunidades de Propietarios.