En su último artículo, Álvaro Gómez Vieites recoge los principales aspectos del Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) aprobado el 27 de abril de 2016, que será aplicable a partir del 25 de mayo de 2018.
Álvaro es consultor asociado en Inprosec y profesor de varias Escuelas de Negocios y Universidades (IESIDE, ESEUNE, ESIC-ICEMD, UNED). Es autor de 31 libros y de numerosos artículos sobre las TIC, los Sistemas de Información, el Marketing Digital, el Comercio Electrónico ,Seguridad Informática y La protección de Datos.
El GDPR consagra el Derecho Fundamental a la Protección de Datos en la UE y se aplica al tratamiento de datos personales de personas físicas. En este sentido, refuerza el requisito del consentimiento del interesado, que ha de ser siempre libre, específico, informado e inequívoco, recayendo la carga de la prueba sobre el consentimiento en el responsable del tratamiento. Deja de ser válido el consentimiento tácito, por lo que las empresas deberán revisar los procedimientos que seguían hasta la fecha para solicitar el consentimiento de los interesados.
En cuanto a los derechos de los ciudadanos, el GDPR establece el derecho a la información sobre el tratamiento de sus datos personales, el derecho de acceso, de rectificación y supresión, el derecho a la limitación y a la oposición al tratamiento, así como el derecho a la portabilidad de los datos personales.
En cuanto a las medidas de seguridad, El GDPR obliga a la notificación de una violación de la seguridad de los datos personales a la autoridad de control de cada Estado miembro, en un plazo máximo de 72 horas, indicando la naturaleza de la violación de la seguridad de los datos personales, las categorías y el número aproximado de interesados afectados.
Cabe destacar también la figura clave del Delegado de Protección de Datos, establecida por el GDPR para cierto tipo de organizaciones; autoridades u organismos públicos, organizaciones que lleven a cabo tratamientos sistemáticos de datos personales a gran escala o categorías especiales de datos personales.
Por último, en cuanto al régimen sancionador por incumplimiento del GDPR, se tendrá en cuenta la naturaleza, gravedad y duración de la infracción, atendiendo al número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido, así como el grado de intencionalidad o negligencia. Las multas administrativas serán de 20.000.000 de Euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
