Qué cambia / mejora con la nueva legislación en relación con venta de motores de segunda mano? Cómo te afecta siendo usuario?

1.- Consentimiento

El nuevo Reglamento exige que el consentimiento deba dejar de ser tácito, para ser “una manifestación inequívoca o una clara acción afirmativa”. Esto quiere decir que el responsable de los datos debe poder probar que tuvo el consentimiento.

Asimismo, los consentimientos obtenidos anteriormente a la puesta en marcha del Reglamento solo serán válidos si se consiguieron respetando los criterios específicos de la norma. La AGPD recomienda a todas las empresas revisar los acuerdos y ver si concuerdan la normativa, pues a partir del 25 de mayo solo serán legitimados los que tengan un consentimiento inequívoco, independientemente de la fecha en la que se obtuvo.

2.- Información

El Reglamento General de Protección de Datos (RGPD) incluye una serie de cuestiones que amplían las cláusulas informativas y que no estaban recogidas en la antigua Ley de Protección de Datos. En este periodo de adaptación, las entidades pueden ofrecer dicha información adicional sin costes mediante su propia web o con los canales de los que dispongan para comunicarse con sus clientes, lo que ayudaría según la Agencia a disminuir el número de casos en los que las cláusulas informativas presenten carencias, a la vez que reescriben sus políticas informativas recogiendo los criterios del Reglamento.

3.- Evaluaciones de impacto sobre la protección de datos

Las entidades deberán realizar evaluaciones de impacto sobre la protección de datos, antes de poner en marcha el uso de los mismos, para minimizar el impacto que su uso pueda acarrear a los clientes. Este sistema será obligatorio solo para cierto tipo de información y para un tipo específico de empresas que manejan información sensible.

La AGPD recomienda que las empresas que deban obligatoriamente realizar estas evaluaciones, que comiencen cuanto antes pues se necesita una preparación previa para escoger la metodología adecuada. Además, ello les facilitará la tarea cuando resulte obligatoria.

4.- Certificación

El Reglamento abre las posibilidades para que las entidades puedan obtener la Certificación. De esta forma, las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas pueden emitir las certificaciones.

5.- Delegados de protección de datos. Certificación

Se trata de una nueva figura que se encargará de que las distintas organizaciones cumplan con el Reglamento. La Agencia Española de Protección de Datos valora a este respecto la posibilidad de que sea la Entidad Nacional de Acreditación (ENAC) la encargada de emitir las credenciales de estos Delegados de protección de datos, aunque asegura que ello tendría “un carácter instrumental” y que no impediría a alguien “desempeñar las funciones de Delegado si su currículo muestra que reúnen los requisitos de conocimiento”.

6.- Relación entre responsables y encargados

El RGPD describe el tipo de contrato al que debe llegar el responsable de los datos con el encargado de los datos. En él se especifican las obligaciones de ambas partes ante la prestación del servicio acordado. Antes de la puesta en marcha del Reglamento, la Agencia recomienda dos cosas: revisar los antiguos contratos que seguirán vigentes a partir de mayo e incluir este tipo de cláusula en los nuevos contratos.

7.- Herramientas para pymes y herramientas sectoriales

Para ayudar a la implementación de este nuevo Reglamento en pequeñas empresas, la Agencia Española de Protección de Datos ha puesto en marcha Facilita. Una herramienta que ya está accesible online y que permitirá a las entidades que operen con datos de bajo o muy bajo riesgo conocer si están cumpliendo con la normativa.

Asimismo, la Agencia también está trabajando en la elaboración de una guía de análisis -que presentará en breve- para aquellas entidades que trabajan con datos de un nivel de riesgo mayor (como el manejo de datos sensibles).