La Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD), especificó en su disposición transitoria quinta que todos aquellos contratos de encargado del tratamiento formalizados antes del 25/05/2018 debían ser adaptados al art. 28 del RGPD antes del 25/05/22.

El pasado 25 de mayo de 2018 entró en vigor el nuevo Reglamento General en Protección de Datos (RGPD). Uno de los principales objetivos de la Comunidad Europea con la elaboración del nuevo reglamento era evitar que las organizaciones que trabajaran en más de un país tuvieran que cumplir con legislaciones distintas en materia de protección de datos, facilitando así el negocio con y en la Comunidad Europea.

Además, el reglamento pretendía adaptar las nuevas legislaciones a los nuevos avances en tecnología y comunicación que, en su mayor parte, no quedaban contemplados en anteriores normativas. Posteriormente a la llegada del RGPD, se aprobó la nueva Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

El Reglamento General de Protección de Datos incorporaba nuevos principios y novedades, siendo los más importantes los derechos para los interesados (limitación del tratamiento, portabilidad y olvido), el principio de privacidad por defecto y desde el diseño (Privacy by default & by design), el cambio en la validez de los consentimientos, la obligatoriedad de elaboración de análisis de riesgos y posibles  evaluaciones de impacto en la privacidad (PIA por sus siglas en inglés) y la incorporación de la figura del Delegado de Protección de Datos (DPO por sus siglas en inglés), entre otras.

Desde la aprobación del Reglamento General de Protección de Datos, empresas de todo tipo y sector iniciaron proyectos globales de adecuación a las nuevas legislaciones.

Las sanciones que se desprenden del mal uso de los datos de carácter personal son variables. El hecho de no adecuarse al Reglamento puede comportar sanciones de hasta 20 millones de euros o el 4% de los beneficios anuales, cualquier que sea la mayor cantidad de las dos.

Además, con la entrada en vigor del Reglamento General de Protección de Datos, dos figuras ya existentes ganaron aún más relevancia en lo que concierne a la gestión de datos personales: el responsable y encargado del tratamiento.

Frecuentemente, las organizaciones y empresas externalizan parte de sus tratamientos de los datos personales con proveedores u organizaciones externas. De este modo, son ejemplo de encargos de tratamiento de datos cuando una organización, la cual ostenta el rango de responsable del tratamiento, contrata a otra empresa externa, la cuál actuará como encargado del tratamiento de los datos personales.

En estos casos, se formaliza un contrato de encargado de tratamiento que vincula a responsable y encargado y regula, a su vez, las relaciones entre ambos respecto al tratamiento de los datos personales.

Todos aquellos contratos de encargado de tratamiento que estuvieran formalizados previamente a la entrada en vigor del Reglamento General de Protección de Datos no quedaron automáticamente revocados con la aplicabilidad de dicha norma. Sin embargo, se estableció un plazo determinado para adecuarlos a la nueva normativa.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales, especificó en su disposición transitoria quinta que todos aquellos contratos de encargado del tratamiento que fueran formalizados previamente al 25/05/2018 debían ser modificados y adaptados al artículo 28 del Reglamento General de Protección de Datos antes del próximo 25 de mayo de 2022.

Por tanto, durante dicho plazo, cualquiera de las partes podrá exigir la modificación del contrato con la finalidad de adaptarlos al Reglamento General de Protección de Datos.

Por tanto, y aclarado lo que se requiere, ya no hay excusa para no adaptarse a la nueva normativa en protección de datos, y desde OptimumTIC recomendamos iniciar dicha adaptación lo antes posible.

En OptimumTIC, dentro de nuestros servicios elaboramos el Análisis GAP si este no hubiera sido creado por la compañía, para establecer el Plan de Acción o pasos a realizar para la adaptación hacia el Reglamento General de Protección de Datos.

En base a nuestra experiencia en este tipo de proyectos y gracias al carácter transversal de nuestro equipo, suplimos todas las medidas técnicas, legales y organizativas en las que se traducen los requerimientos del RGPD, realizando los proyectos o acciones que deban desarrollarse para acercar la organización al cumplimiento normativo.

Esta transversalidad queda plasmada en la realización de un análisis de situación de la organización, Plan de Acción bien definido, y posible establecimiento de medidas de seguridad, entre otros.

Además, trabajamos con el software de privacidad OneTrust, que además de permitir la personalización total de la jerarquía de la organización, también mantiene el inventario de activos, el registro de consentimientos permite elaborar PIAs y crear workflows dentro de la compañía, entre otras funcionalidades.

Mediante el soporte de esta herramienta, OptimumTIC contribuye a diseñar, desarrollar y optimizar a diversas organizaciones en su proyecto de adecuación al RGPD y cumplimiento reglado.

Si desea más información sobre nuestros servicios o productos, puede contactar con nosotros sin compromiso a través de nuestra página web: www.optimumtic.com o escribiéndonos a info@optimumtic.com