Las Novedades más destacables del Nuevo Reglamento de la Ley Orgánica de Protección de Datos son:

Regula por primera vez la aplicación de las medidas de seguridad a los ficheros no automatizados, es decir, los ficheros en soporte papel, que en el anterior reglamento carecían de regulación expresa.

Los tres niveles de seguridad (básico, medio y alto) sufren algunas modificaciones:
   Pasan de bajo a medio:
    - los conjuntos de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento.
   Pasan de alto a básico:
    - Los ficheros que contengan datos de carácter alto pero se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados son asociados o miembros.
    - Los ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan datos de carácter alto sin guardar relación con su finalidad.
    - Los datos sobre el grado de discapacidad o invalidez.
   Se incluyen en el nivel alto:
    - los ficheros o tratamientos de datos derivados de actos de violencia de género.

Se regula la figura del Encargado del Tratamiento.

Se regula la forma de obtener el consentimiento previsto en el artículo 6 de la LOPD, de modo que la no respuesta del interesado en el plazo de 30 días se interpreta como consentimiento válidamente obtenido.

Sobre la externalización de servicios, se prevé que si el Responsable del Tratamiento contrata la prestación de un servicio que comporte el tratamiento de datos personales deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento del Reglamento. A su vez, permite que el Encargado del Tratamiento pueda subcontratar siempre que estuviera autorizado por el Responsable del tratamiento o esté así previsto en el contrato de prestación de servicios.

La aplicación de las medidas de seguridad exigibles se amplia a las redes de comunicaciones privadas.

Aumentan las menciones mínimas del Documento de seguridad.

Exige la autorización del responsable del fichero para la salida de soportes y documentos que contengan datos de carácter personal (incluyendo los comprendidos y/o adjuntos a un correo electrónico).

Se exige que los usuarios sean personalizados ya desde el nivel básico.

Se introduce además de la auditoría de seguridad bianual a partir del nivel medio, la necesidad de realizar una auditoría extraordinaria siempre que se realicen modificaciones sustanciales.

Se prevé expresamente que los ficheros en papel deberán almacenarse en dispositivos que obstaculicen su apertura, y que mientras no se encuentren en estos dispositivos por estar en proceso de revisión o tramitación, la persona que se encuentre al cargo de los mismos deberán custodiarlos e impedir en todo momento que puedan acceder a ellos personas no autorizadas.

Se desarrollan los procedimientos sancionadores de la Agencia Española de Protección de Datos (AGPD).

El colegio recomienda
Proceder a notificar a la AGPD los ficheros o tratamientos en papel, si no se ha hecho ya.
Modificar el contenido de los ficheros ya declarados para adaptarlo al reglamento.
Revisar y corregir las medidas de seguridad a aplicar.
Actualizar el documento de seguridad a las nuevas previsiones.
Realizar las auditorias que marcan la ley y el reglamento.

Y le recuerda que tiene a su disposición la documentación del proyecto digitalis y la asesoría jurídica.