la lopd a muerto, viva la rgpd

¿Qué es el nuevo Reglamento Europeo de Protección de Datos?

El Reglamento General de Protección de Datos (Reglamento de la UE 2016/679) sustituye a las leyes de protección de datos nacionales existente desde el 25 de mayo de 2018. Hasta entonces se aplica la LOPD.

 

Novedades que trae el Reglamento

Las novedades que debemos ir teniendo en cuenta son las siguientes:

  1. Se amplía el ámbito de aplicación a aquellas empresas no establecidas en la Unión Europea que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión Europea o como consecuencia de una monitorización y seguimiento de su comportamiento.

 

  1. Se refuerza la exigencia de consentimiento, mediante una declaración o una acción positiva no pudiendo deducirse del silencio o de la inacción, estableciendo la obligación de disponer de sistemas de registro del consentimiento.

 

  1. Además se introduce la exigencia del consentimiento para la oferta directa a niños de servicios de la sociedad de la información (internet), que será válido para mayores de 14 años, mientras que para menores de 14 años se necesitará el consentimiento del padre o tutor.

 

  1. A los ya considerados como datos especialmente protegidos (ideología, religión, afiliación sindical, creencias, salud, origen racial y vida sexual) se añaden los datos genéticos y biométricos dirigidos a identificar de manera inequívoca a una persona.

 

  1. Se refuerza el derecho de transparencia, obligando a suministrar más información con carácter previo a la recogida de sus datos y el derecho al olvido para pedir que los datos personales sean suprimidos en determinadas circunstancias.

 

  1. Se introducen nuevos supuestos para la cancelación (bloqueo) de los datos.

 

  1. Se introduce el derecho a la portabilidad de los datos para solicitar a un responsable que los esté tratando de modo automatizado bien la recuperación de esos datos en un formato que permita su traslado a otro responsable o bien la transferencia de los datos directamente al nuevo responsable cuando sea técnicamente posible.

 

  1. Se establece la protección de datos desde el diseño, mediante la aplicación de medidas apropiadas al determinar los medios de tratamiento y en el momento mismo del tratamiento y la protección por defecto para que los datos personales no sean accesibles sin la intervención de la persona a un número indeterminado de personas físicas.

 

  1. Se establece la obligación de mantener un registro de ficheros y tratamientos por encargo de terceros en empresas con más de 250 trabajadores, en tratamientos de datos que entrañen riesgo para derechos y libertades, en tratamiento de datos  especialmente protegido o en tratamientos de datos relativos a condenas e infracciones penales.

 

  1. Se introduce la obligación de notificación a la Agencia Española de Protección de Datos y al interesado aquellas brechas de seguridad que se produzcan y que supongan riesgo de daños y perjuicios físicos, materiales o inmateriales para las personas físicas.

 

  1. Se impone la obligación de realizar evaluaciones de impacto en protección de datos (EIPD), siempre que sea probable que las operaciones de tratamiento, especialmente cuando se utilicen nuevas tecnologías, entrañen un alto riesgo para los derechos y libertades de las personas físicas. La Agencia Española de Protección de Datos publicará listas de los tipos de operaciones de tratamiento que requieran una evaluación de impacto.

 

  1. También se impone la obligación de nombrar un delegado de protección de datos cuando  los tratamientos que lleven a cabo por autoridades y organismos públicos (excepto los  tribunales), cuando las actividades principales requieran observación habitual y sistemática de interesados a gran escala o cuando consistan en el tratamiento a gran escala de datos especialmente protegidos o relativos a condenas e infracciones penales.

 

  1. Se insta a asociaciones u otros organismos que representen a categorías de responsables o encargados en determinados sectores a que elaboren códigos de conducta para facilitar la aplicación del Reglamento a las microempresas y las pequeñas y medianas empresas. Se fomenta el establecimiento de mecanismos de certificación y sellos y marcas de protección de datos que permitan evaluar el nivel de protección de datos de los productos y servicios y demostrar el cumplimiento del Reglamento.

 

  1. Se revisa el régimen de transferencias internacionales de datos que se estructura en transferencias basadas en decisión de adecuación por la Comisión Europea, en ofrecimiento de garantías adecuadas mediante instrumentos jurídicamente vinculantes o en la elaboración de normas corporativas vinculantes.

 

  1. Se establece un sistema de ventanilla única para que los responsables establecidos en varios Estados miembros de la Unión Europea o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la Unión Europea  tengan una única Autoridad de protección de datos como interlocutora.

 

  1. Se prevén poderes para sancionar con una advertencia, apercibimiento, solicitud de atención de ejercicio de derechos, limitaciones del tratamiento, y multas administrativas para las que se contempla un importante aumento de las cuantías que pueden llegar hasta los 20.000.000 o un 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Se prevé que para el 25 de mayo de 2018 los Estados miembros comuniquen a la Comisión otras sanciones efectivas, proporcionadas y disuasorias que decidan aplicar para las infracciones que no estén sancionadas con multas administrativas en el Reglamento.

 

¿Reemplazará el Reglamento a la normativa sobre cookies?

No. La normativa sobre cookies (Directiva sobre comunicaciones comerciales y privacidad) permanece como está, y por tanto la LSSI, que la incorpora al ordenamiento español sigue de aplicación.

¿A qué empresas u organizaciones se aplica?

El Reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.

¿Qué implica para los ciudadanos que el Reglamento amplíe el ámbito de aplicación territorial?

Esta novedad supone una garantía adicional a los ciudadanos europeos. En la actualidad, para tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de internet.

Ello permite que el Reglamento sea aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea.

¿Qué nuevas herramientas de control de sus datos poseen los ciudadanos?

El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidas, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.

¿A qué edad pueden los menores prestar su consentimiento para el tratamiento de sus datos personales?

El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores.

En el caso de las empresas que recopilen datos personales, es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.

¿Qué implica la responsabilidad activa recogida en el Reglamento?

Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Para ello, el Reglamento prevé una batería completa de medidas:

– Protección de datos desde el diseño

– Protección de datos por defecto

– Medidas de seguridad

– Mantenimiento de un registro de tratamientos

– Realización de evaluaciones de impacto sobre la protección de datos

– Nombramiento de un delegado de protección de datos

– Notificación de violaciones de la seguridad de los datos

– Promoción de códigos de conducta y esquemas de certificación.

 

¿Cambia la forma en la que hay que obtener el consentimiento?

Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es inequívoco, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.  No es válido el consentimiento TACITO.

Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.

Además, el Reglamento prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

¿Deben las empresas revisar sus avisos de privacidad?

Con carácter general, sí. El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos. Si creen que hay un problema con la forma en que están manejando sus datos. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.

Herramienta de ayuda

 La Agencia Española de Protección de Datos ha presentado con la colaboración de CEOE y CEPYME Facilita RGPD, una herramienta para ayudar a las empresas y profesionales que traten datos personales de escaso riesgo a cumplir con el nuevo Reglamento General de Protección de Datos (RGPD), que será aplicable el 25 de mayo de 2018. Facilita RGPD está planteada como un cuestionario online con una duración máxima de 20 minutos con el que las empresas y profesionales pueden, en primer lugar, constatar a través de una serie de preguntas que los datos que tratan pueden considerarse de bajo riesgo y, en segundo lugar, obtener los documentos mínimos indispensables para facilitar el cumplimiento del RGPD al terminar el test.

También podemos encontrar en la web los siguientes materiales, una ‘Guía del Reglamento para responsables’, ‘Directrices para elaborar contratos entre responsables y encargados’, y una ‘Guía para el cumplimiento del deber de informar’, todos ellos incluidos en una nueva sección web específica

Guía del Reglamento General de Protección de Datos para responsables de tratamiento. El documento recoge las principales cuestiones que las organizaciones deben tener en cuenta para cumplir con las obligaciones recogidas en el Reglamento. La Guía incluye en su parte final una Lista de verificación con la que las entidades pueden determinar si han dado los pasos necesarios para estar en condiciones de hacer una correcta aplicación del RGPD. Guía del Reglamento General de Protección de Datos para responsables de tratamiento

Algunas de las recomendaciones que se ofrecen en la Guía pueden ponerse en práctica de forma casi inmediata, porque tienen que ver con actuaciones que debieran iniciarse ya durante este periodo transitorio. En otros casos, esas recomendaciones o propuestas solo deberán tenerse en cuenta en el momento en que el RGPD sea de aplicación, aunque se han incluido para fomentar que las entidades puedan ir anticipándose al momento en el que las medidas sean de obligado cumplimiento.

Directrices para la elaboración de contratos entre responsables y encargados de tratamiento . El RGPD establece que las relaciones entre el responsable y el encargado deben formalizarse en un contrato o acto jurídico que les vincule, regulando de forma minuciosa su contenido mínimo. Estas directrices se han realizado con la finalidad de que los contratos reflejen todos los contenidos recogidos en el Reglamento.

Guía para el cumplimiento del deber de informar. El RGPD concede gran importancia a la información que debe proporcionarse a los ciudadanos cuyos datos van a tratarse, estableciendo una lista exhaustiva de los contenidos que deben ser expuestos de forma clara y accesible. Esta Guía ofrece recomendaciones y soluciones prácticas sobre los modos de proporcionar esta información.

 

 

Abrir chat
A %d blogueros les gusta esto: