Surge una nueva figura, el Delegado de Protección de Datos, obligatorio en muchos casos y aconsejable en otros.
Ya no es válido el consentimiento tácito, debe informarse expresamente y justificar la legitimación del consentimiento,
¿Cómo?
Por ejecución de un contrato.
Por cumplimiento de una obligación legal.
Por interés público o ejercicio de poderes.
Por interés legítimo del responsable del tratamiento.
O, por Consentimiento del propio interesado.
Con una política de seguridad previamente diseñada por el responsable del tratamiento y en base a la legislación vigente en materia de protección de datos , y, aceptada por todos los integrantes de la organización, es decir, por todo el personal, los cuales deberán firmar un documento de confidencialidad.
El contrato a suscribir con los encargados de tratamiento será mucho mas explícito y es el Responsable quien debe comprobar que el encargado de tratamiento cumplen con las medidas de seguridad y lo establecido en el RGPD, en caso contrario no podrá contratar con él, por cuanto el que responde ante la ley es el propio Responsable del tratamiento.
Debe realizarse un análisis de todos tos tratamientos de datos personales para establecer el nivel de riesgos de incumplimiento de las medidas de seguridad que conlleva dicho tratamiento.
Antes de realizar el tratamiento de datos, cuando estos son a gran escala y tratan datos especiales, debe realizarse una evaluación de impacto previa al tratamiento.
La inscripción previa de ficheros en la AEPD se sustituye por un Registro de actividades de todos los tratamientos de datos que se realicen.