La nueva protección de datos en 10 puntos

Publicado por Hugo da Silva el jueves 28 de septiembre de 2017
Tiempo de lectura aproximado: 7 minutos

En mayo de 2016 el Parlamento Europeo aprobó una nueva regulación de protección de datos de ámbito comunitario destinada a resolver las diferencias legislativas en esta materia de los diferentes Estados miembros, lo que actualmente genera una gran inseguridad jurídica para aquellas empresas y organismos que operan en este mercado.

El Reglamento General de Protección de Datos (RGPD), que goza de un periodo transitorio de adaptación hasta mayo de 2018, resulta de obligado cumplimiento para todos los países, aunque deja cierto margen de actuación para que los Estados desarrollen y adapten algunas cuestiones, por lo que la actual Ley Orgánica de Protección de Datos (LOPD) vigente en España no va a desaparecer; eso sí, tendrá que adaptarse al nuevo marco normativo.

Por ello, la Comisión Nacional de Codificación, en colaboración la Agencia Española de Protección de Datos, ha venido trabajando durante los últimos meses en un nuevo texto que fue presentado al Consejo de Ministros el pasado 24 de junio. Pese a las recomendaciones de los organismos europeos de que la normativa sea introducida de forma progresiva, se prevé que la nueva LOPD entre en vigor al mismo tiempo que se hace exigible el cumplimiento efectivo del RGPD, el próximo mes de mayo.

Por el momento, el anteproyecto de Ley Orgánica deberá pasar por un proceso de consultas, dictámente, informes, acuerdos, votaciones, etc. que pueden modificar el texto actual, pero la base será, en cualquier caso, el Reglamento Europeo de Protección de Datos.

A continuación se recogen las medidas más destacadas de este nuevo Reglamento:

 

1. Consentimiento

El RGPD exige un consentimiento libre e informado mediante una acción afirmativa clara e inequívoca que manifieste la conformidad de la persona afectada. A diferencia de lo que sucedía hasta ahora, no se considerará válido el consentimiento obtenido de forma tácita, por inacción o mediante casillas pre-marcadas.

Cuando se trate de personas menores de edad, el Reglamento establece que el consentimiento solo será válido si tienen más de 16 años, sin embargo deja vía libre a que los estado miembro puedan legislar al respecto y rebajar la edad hasta los 13 años.

2. Derecho de información

El RGPD establece el derecho de las personas afectadas a la información sobre las siguientes cuestiones:

  • Los datos de contacto de la persona delegada de protección de datos.
  • La base jurídica del tratamiento.
  • Los intereses legítimos perseguidos en que se fundamente el tratamiento, en su caso.
  • La intención de transferir los datos a un tercer país o a una organización internacional y la base para hacerlo, en su caso.
  • El plazo durante el cual se conservarán los datos.
  • El derecho a solicitar la portabilidad.
  • El derecho a retirar en cualquier momento el consentimiento que se haya prestado.
  • Si la comunicación de datos es un requisito legal o contractual o un requisito necesario para suscribir un contrato.
  • El derecho a presentar una reclamación ante una autoridad de control.
  • La existencia de decisiones automatizadas, incluida la lógica aplicada y sus consecuencias.

Esta información debe facilitarse por escrito de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, evitando acudir a fórmulas especialmente farragosas y que incorporan remisiones a los textos legales.

3. Derechos de las personas interesadas

El RGPD incorpora los siguientes derechos a los ya existentes de acceso, de rectificación, de oposición y de cancelación:

  • Derecho de supresión ("derecho al olvido").
  • El derecho a la limitación del tratamiento.
  • El derecho a la portabilidad.

El Reglamento requiere a las personas responsables que posibiliten la presentación de solicitudes para el ejercicio de estos derechos por medios electrónicos, especialmente cuando el tratamiento se realiza por esos medios, y que en cualquier caso sea de forma gratuita, aunque se contempla la posibilidad de que se pueda cobrar un canon que compense los costes administrativos de atender solicitudes manifiestamente infundadas o excesivas, especialmente por repetitivas.

4. Registro de ficheros

El RGPD suprime la obligatoriedad de crear formalmente los ficheros y notificarlos al Registro de Protección de Datos, como sucedía hasta ahora, pero prevé nuevas obligaciones. Así, las personas encargadas del tratamiento de datos tienen que llevar un registro de las actividades de tratamiento que lleven a cabo y que contendrá la siguiente información:

  • Nombre y datos de contacto de la persona responsable y, en su caso, corresponsable, así como de la persona Delegada de Protección de Datos si existiese.
  • Finalidades del tratamiento.
  • Descripción de categorías de personas interesados y categorías de datos personales tratados.
  • Transferencias internacionales de datos.
  • Cuando sea posible, plazos previstos para la supresión de los datos.
  • Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

5. Evaluaciones de impacto relativas al tratamiento de datos personales

El RGPD establece la obligación para las organizaciones que realicen tratamiento de datos que puedan suponer un alto riesgo para los derechos y libertades de las personas físicas, de realizar una Evaluación de Impacto previa al tratamiento.

Si de esta Evaluación de Impacto sobre la protección de datos resulta que el tratamiento previsto podría infringir el RGPD, la persona responsable debe hacer una consulta a la autoridad de control en materia de protección de datos competente que podrá prohibir la operación de tratamiento.

6. Códigos de conducta y certificación

El RGPD regula y promueve los códigos de conducta y las certificaciones (certificados, sellos o marcas) que pueden desarrollar las asociaciones y otros organismos como mecanismos para demostrar el cumplimiento del Reglamento, especialmente en el momento de realizar la Evaluación de Impacto sobre la protección de datos.

7. Delegado/a de protección de datos (DPD)

El RGPD introduce la figura de la persona Delegada de Protección de Datos (DPD), que será obligatoria:

  • Cuando el tratamiento lo realice una autoridad u organismo público (excepto juzgados y tribunales).
  • Cuando el tratamiento requiera la observación habitual y sistemática de interesados/as a gran escala.
  • Cuando el tratamiento tenga por objeto categorías especiales de datos personales o datos relativos a condenas o infracciones penales.

Esta figura podrá formar parte de la plantilla o actuar en el marco de un contrato de servicios y ha de ser nombrado/a atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos, sin que es esto signifique deba tener una titulación específica.

Entre sus funciones estarán:

  • Informar y asesorar a la persona responsable o encargada y a la plantilla sobre las obligaciones que impone la normativa de protección de datos.
  • Supervisar el cumplimiento de la normativa.
  • Asesorar respecto de la Evaluación de Impacto relativa a la protección de datos.
  • Cooperar con la autoridad de control.
  • Actuar como punto de contacto para cuestiones relativas al tratamiento.
8. Transferencias internacionales

El RGPD solo permite transferir datos fuera del Espacio Económico Europeo:

  • A territorios específicos sobre los que la Comisión haya adoptado una decisión reconociendo que ofrecen un nivel de protección adecuado.
  • Cuando se hayan ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destino.
  • Cuando se aplique alguna excepción por razones de necesidad vinculadas al propio interés del titular de los datos o a intereses generales.

9. Medidas de seguridad

El RGPD determina que la persona responsable y la encarga del tratamiento deberán aplicar las medidas técnicas y organizativas adecuadas al riesgo que conlleva el tratamiento, sin concretar el tipo de medidas, lo que implica tener que realizar una evaluación de los riesgos para cada tratamiento que permita determinar las medidas de seguridad a implementar. Esto difiere sustancialmente de la actual LOPD, que obliga a aplicar determinadas medidas concretas según el nivel de seguridad (bajo, medio o alto).

10. Notificación de fallos de seguridad

El RGPD obliga a la persona responsable del tratamiento de datos a notificar las violaciones de seguridad que se produzcan a la autoridad de control competente, en este caso a la AEPD, en un plazo máximo de 72 horas si existe algún riesgo para los derechos de las personas afectadas.

Además, cuando esta violación pueda suponer un riesgo alto, la persona responsable lo deberá comunicar también a las afectadas sin dilaciones indebidas y en lenguaje claro y sencillo, excepto que hubiera adoptado medidas de protección adecuadas, haya aplicado medidas ulteriores que garanticen que ya no existe la probabilidad de que se concrete el alto riesgo o que suponga un esfuerzo desproporcionado.

 

A menos de un año de la entrada en vigor de la nueva LOPD, es recomendable que las organizaciones empiecen a revisar sus procesos para adecuarlos al RGPD con previsión y planificación, ya que les va a afectar de manera profunda, mientras estamos atentos/as los próximos meses para ver cómo va evolucionando el anteproyecto de ley.

Por el momento, la Agencia Española de Protección de Datos ha publicado Facilita_RGPD, una herramienta gratuita orientada a empresas que tratan datos personales de escaso riesgo -datos personales de clientes, proveedores o recursos humanos, por ejemplo- con la finalidad de facilitar su adecuación al RGPD.

¿Necesitas ayuda para ponerte al día con el Reglamento General de Protección de Datos (RGPD)?
¡Podemos ayudarte!

Contacta con Criteria

Si te ha gustado esta entrada, ¡compártela!
    

No te pierdas ningún artículo. ¡Suscríbete a nuestro blog!