El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la LOPD y que comenzará a aplicarse el 25 de mayo de 2018.
Las infracciones se sancionaran con multas administrativas de 20 000 000 EUR (no es un error, 20 millones de euros) o de una cuantía equivalente al 4 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía (articulo 83.5). Este reglamento implica cambios relevantes en las aplicaciones que tratan datos de salud incluyendo …
la información sobre la persona física recogida con ocasión de su inscripción o prestación de asistencia sanitaria; todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, un médico u otro profesional sanitario, un hospital, un producto sanitario, o una prueba diagnóstica in vitro.
El Reglamento introduce nuevos elementos:
- El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.
- El derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.
- Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento, ya que el llamado consentimiento tácito (aceptado bajo la LOPD actual) dejarán de serlo con el Reglamento
- Aparece una nueva figura: el Delegado de Protección de Datos (Data Protection Officer)
- Los avisos de privacidad deberán revisarse para por ej. explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos.
- Desaparece el Registro General de Protección de Datos obligatorio con la LOPD a través del formulario electrónico NOTA y se sustituye por el de llevar un registro de actividades de tratamiento efectuadas.
Ver mas información en la página de la AGPD:
http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php