En España, las empresas deberán cumplir el RGPD antes de mayo de 2018.
Su adaptación se hará mediante la nueva LOPD que aún se encuentra en trámite parlamentario.

A continuación enumeramos los detalles más importantes del nuevo reglamento europeo

1.- Consentimiento expreso

Se establece la obligación de las empresas de obtener un consentimiento expreso, inequívoco y verificable, y no tácito de la información que se obtenga de sus clientes.Se considera consentimiento tácito cuando, después de haber recibido la información correspondiente, el usuario no dice que no (ejemplo: “si no me contestas antes de 30 días, entonces te enviaré información comercial de terceros”).

Por tanto, el consentimiento tácito se considera válido, siempre y cuando no nos encontremos ante datos especialmente protegidos.

2.- Transparencia

Será necesario que las empresas detallen explícitamente y con un lenguaje comprensible los datos e información personal requerida al usuario o cliente y solo se podrá tratar los datos en caso que tengan un interés legítimo.

3.- Seguridad

Las empresas están obligadas a informar cuando hayan sufrido una brecha de seguridad a las autoridades de control y, dependiendo de la gravedad, a los afectados. Aunque es un asunto necesario hoy en día, el reglamento establece la necesidad de dejar plasmada una estrategia en materia de seguridad.

4.- Delegado de protección de datos

Será una figura necesaria y clave para dirimir los asuntos en materia de privacidad y seguridad de los datos personales, una decisión que requerirá de una certificación que acredite sus conocimientos. No obstante, no todas las empresas estarán obligadas a contar con un delgado debido a su tamaño. El reglamento no exige que deba ser un jurista, pero sí que cuente con ese conocimiento y podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.

5.- Derechos del ciudadano

Derecho a rectificación de datos inexactos o supresión de los mismos (conocido como el «derecho al olvido»), aunque con excepciones (cuando deba prevalecer el derecho a la libertad de expresión e información), limitación del tratamiento, a la portabilidad (obtener los datos que han proporcionado a una entidad en un formato estructurado, de uso común y de lectura mecánica).

6- Registro

El reglamento exige la obligación de registrar documentalmente las operaciones de tratamiento, tanto por parte de los Responsables de Fichero como por los Encargados de Tratamiento.

7.- ¿Qué páginas web deben solicitar un consentimiento?

Cualquier página web o tienda online que recoja datos personales a través de formularios (de contacto, de suscripción o de solicitud de presupuesto) debe solicitar el consentimiento de los usuarios para poder tratar sus datos.

8.- ¿Puedo enviar comunicaciones comerciales a clientes sin consentimiento?

Se permite el envío de mensajes publicitarios o comerciales por correo electrónico a aquellos usuarios que previamente lo hubieran solicitado o autorizado de forma expresa. También se admite el envío de comunicaciones comerciales a aquellos usuarios con los que exista una relación contractual previa, en cuyo caso el proveedor podrá enviar publicidad sobre productos o servicios similares a los contratados por el cliente.

9- Sanciones

El Reglamento General de Protección de Datos incrementará de forma significativa las sanciones derivadas de su incorrecto cumplimento.

Según el RGPD, el incumplimiento de los requisitos exigidos para el consentimiento en el tratamiento de datos personales será sancionado con multas administrativas de 20 millones € como máximo o, si es una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, eligiendo la de mayor cuantía.

10.- Tipos de infracciones

La nueva LOPD considera infracciones muy graves:

El incumplimiento de los requisitos exigidos por el artículo 7 del Reglamento (UE) 2016/679 para la validez del consentimiento.
La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.
Entre las infracciones graves están:

El tratamiento de datos de carácter personal de un menor de trece años sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela.
No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de trece años o por el titular de su patria potestad o tutela.

Fuente: https://ayudaleyprotecciondatos.es/2016/01/25/resumen-nuevo-reglamento-proteccion-datos/#Que_cambios_hay_en_el_nuevo_Reglamento