Novedades del nuevo Reglamento Europeo de Protección de Datos

Novedades del nuevo Reglamento Europeo de Protección de Datos

novedades rgpd gdpr

Después de 4 años de trabajo, la nueva normativa comunitaria recibió el visto bueno del Parlamento Europeo en abril de 2016. El RGPD, que sustituye a la Directiva de 1995 (momento en el que el uso de Internet no estaba tan extendido), tiene como objetivo ofrecer a los ciudadanos un mayor control sobre su información privada.

Ahora, todos los países de la Unión Europea tendrán una normativa común. Pero, además, cuentan con la posibilidad de desarrollar lo recogido en el RGPD on aquellos aspectos en los que la nueva normativa guarde silencio. Es decir, cada uno de los Estados tiene potestad para dictar normas sobre supuestos que no se encuentren expresamente previstos en el Reglamento. De hecho, en nuestro país ya se ha presentado un proyecto de ley para la modificación de la Ley Orgánica de Protección de Datos.

Pero, ¿cuáles son las principales novedades a la que se van a enfrentar empresas y usuarios?

  1. Entrada en vigor y obligatoriedad

Este es uno de los aspectos más controvertidos y que genera más confusión. El RGPD se aprobó el 27 de abril de 2016 y entró en vigor en mayo de ese año (tras su publicación en el Diario Oficial de la Unión Europea). En ese momento, se produjo la derogación de la Directiva de Protección de Datos de 1995. Pero, como se trata de una normativa complicada, se ha dado un periodo de dos años para que los afectados puedan adaptarse a los nuevos requisitos.

Por tanto, los responsables de tratamiento deberán estar totalmente adecuados a la nueva normativa en mayo de 2018. A partir de ese momento, será completamente obligatoria y las autoridades reguladoras podrán exigir su cumplimiento.

  1. Sujetos obligados y ampliación del ámbito de aplicación territorial

El RGPD es aplicable a los datos de las personas físicas (no de las jurídicas), independientemente de su nacionalidad o residencia. Pero, según el nuevo proyecto de ley, se exceptúan:

  • Los tratamientos que lleven a cabo las personas físicas en su ámbito personal o doméstico.

  • Los tratamientos que realicen las fuerzas y cuerpos de seguridad del Estado y los juzgados y tribunales, en investigaciones o tareas de prevención del delito.

  • Los tratamientos sobre materias clasificadas.

Además, el nuevo Reglamento ha ampliado el ámbito de aplicación territorial. Hasta ahora, estaba dirigido a responsables o encargados del tratamiento de datos (empresas, asociaciones, autónomos o profesionales independientes) establecidos en la Unión Europea. Pero, en la nueva norma se amplía a aquellos no establecidos en la UE que realicen tratamientos a ciudadanos europeos (derivados de una oferta de bienes o servicios o como consecuencia de una monitorización y seguimiento de su comportamiento -siempre que esa monitorización se haga desde la UE-). Esto permite que la normativa sea aplicable a empresas que podían hacer tratamiento de datos de personas en la Unión Europea, pero que se regían por normativas de otros lugares, que no siempre ofrecen el nivel de protección del Reglamento europeo.

  1. Obligatoriedad del consentimiento

Con el nuevo RGPD, los titulares de los datos deben aceptar el tratamiento de sus datos personales mediante una declaración o una clara acción afirmativa. ¿Qué significa esto? Que se refuerza la necesidad de que las personas den un consentimiento claro, por lo que ya no sirve hacerlo “por defecto”: poner casillas ya marcadas, basarnos en el silencio o la inacción, etc. Además, los términos y condiciones deberán tener un lenguaje sencillo.

Hay que tener en cuenta que el nuevo Reglamento tiene dos características fundamentales: la privacidad desde el diseño y la privacidad por defecto. Es decir, los titulares de los datos son los dueños de su privacidad y como tales pueden decidir sobre cada aspecto de la misma: quién, cuándo y cómo se van a tratar sus datos. El término “por defecto” hace referencia a que, en caso de silencio, se entiende como NO prestado el consentimiento.

En cuanto a la gestión de las finalidades (el uso que se va a dar a los datos), es obligatorio que cada finalidad adicional (por ejemplo, el envío de comunicaciones comerciales es una finalidad adicional a un contrato de compra on line) se encuentre claramente separada y tenga su propia aceptación.

Por cierto, en todos los casos, el responsable del tratamiento debe ser capaz de demostrar que se ha obtenido ese consentimiento.

3.1. Consentimientos previos a la entrada en vigor del RGPD

Uno de los aspectos que está provocando mayor debate es la forma en que se van a regular los consentimientos anteriores a la entrada en vigor de esta normativa. En este sentido, el nuevo RGPD es tajante: si el consentimiento no se encontraba claramente identificado o se basó en formas tácitas o por omisión, deberá volverse a solicitar. Habrá que tenerlo muy en cuenta porque, según el nuevo proyecto de ley, el tratamiento de datos sin el consentimiento de los usuarios se entiende como una infracción muy grave.

  1. Tipología de los datos personales

En la nueva normativa desaparecen los tres niveles de seguridad (básico, medio y alto). Se sustituyen por una categoría general (que se corresponde con el antiguo nivel básico) y por lo que han denominado “categorías especiales de datos” (podríamos decir que aglutina los niveles medio y alto). A las categorías especiales ya recogidas (origen étnico o racial, opiniones políticas, etc.), se han añadido otras como el tratamiento de datos genéticos o los datos biométricos.

  1. Derechos de los afectados

La normativa anterior ya reconoce los derechos ARCO (acceso, rectificación, cancelación y oposición). Con el nuevo Reglamento, se refuerza el derecho de acceso (hay que facilitar copia de los datos objeto del tratamiento) y se añaden dos nuevos: el derecho a la portabilidad y el derecho al olvido.

  • Derecho a la portabilidad: se prevé la posibilidad de transmitir los datos de un responsable a otro, de forma que, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible. Por ejemplo, si un usuario quierecambiar de prestador de servicios de correo electrónico o de telefonía, podrá solicitar el cambio de uno a otro, sin perder sus contactos o sus antiguos mensajes.

  • Derecho al olvido: El nuevo Reglamento establece que cualquier persona tendrá derecho a que su información personal sea eliminada de los proveedores de servicios de Internet cuando lo desee, siempre y cuando quien posea esos datos no tenga razones legítimas para retenerlos. Además, esa empresa u organización deberá remitir la petición al resto de entidades que puedan haber replicado los datos.

El procedimiento, para que los usuarios ejerzan estos derechos, debe estar visible (en las webs o los documentos que acrediten el consentimiento), ser accesible y tener un lenguaje sencillo. Además, la presentación de solicitudes tendrá que ser posible a través de medios electrónicos.

  1. Registro de actividades de tratamiento

Se ha eliminado la necesidad de notificar los ficheros ante las distintas autoridades nacionales de protección de datos (en el caso de España, el Registro General de la Agencia Española de Protección de Datos) y se ha cambiado por lo que el nuevo Reglamento ha definido como “Registro de actividades de tratamiento”. Este registro se llevará a cabo de forma interna y, entre otros aspectos, contendrá: nombre y datos de contacto del responsable; nombre y datos del Delegado de Protección de Datos; finalidades del tratamiento; descripción de categorías de interesados y de datos tratados; y, en su caso, las transferencias internacionales de datos.

  1. El Delegado de Protección de Datos

La figura del Delegado de Protección de Datos (DPD o DPO por sus siglas en inglés) no es necesaria en todos los casos, aunque se considera recomendable. Pero, es obligatoria en estos casos:

  • Si el tratamiento lo lleva a cabo un organismo público.

  • Si las actividades del responsable o encargado consisten en operaciones que requieren una observación habitual y sistemática de los interesados a gran escala (por ejemplo, videovigilancia).

  • Si las actividades del responsable o encargado consisten en el tratamiento a gran escala de categorías especiales de datos (por ejemplo, los datos de salud en un hospital).

El DPD deberá contar con los conocimientos necesarios en derecho y protección de datos (aunque no tiene por qué ser jurista). Además, actuará de forma independiente (puede ser una persona física o jurídica, interna o externa) asesorando, informado y supervisando el cumplimiento del RGPD.

  1. Análisis de riesgos y evaluación de impacto

Una de las principales novedades del nuevo RGPD es la realización de un análisis de riesgos relativo al tratamiento de datos. El análisis tiene dos vertientes: los riesgos que existen para la propia organización y los riesgos que existen para los derechos y libertados de los ciudadanos.

El tipo de análisis variará en función de: los tipos de tratamiento; la naturaleza de los datos; el número de interesados afectados; y la cantidad y la variedad de tratamientos que lleve a cabo una misma organización.

El análisis deberá llevarse a cabo utilizando alguna de las metodologías existentes (ISO 31000, ENS, ISO 27001, ISO 27018), por lo que la protección de datos pasa a configurarse como un Sistema de Gestión de la Privacidad.

Además, los responsables deberán realizar una Evaluación de Impacto en Protección de Datos (EIPD) antes de la puesta en marcha de aquellos tratamientos que conlleven un alto riesgo para los interesados, o traten categorías especiales de datos (tratamientos a gran escala de datos sensibles, observación a gran escala de una zona de acceso público, etc.).

  1. Medidas de seguridad

Las medidas de seguridad deberán confeccionarse con el objetivo de corregir aquello que se detecte en el análisis de riesgos, y tienen que ser aplicadas por el responsable antes de iniciar el tratamiento.

Estas medidas pueden ser de carácter organizativo (políticas corporativas, procedimientos internos, etc.) o técnico (cifrado, controles de acceso, back ups, etc.). Su finalidad es garantizar que solo se traten los datos necesarios y que se respeten los periodos de conservación y la accesibilidad de los datos.

Otra de las novedades (una de las más importantes) es que se deberán notificar las “violaciones de seguridad de los datos”. Es decir, el responsable de tratamiento deberá notificar a la autoridad competente (en nuestro caso la AEPD) cualquier brecha de seguridad que se haya producido, en un plazo de 72 horas desde que ocurra (incluyendo en la notificación las medidas adoptadas para solventar el problema). Además, si la brecha implica un riesgo para los interesados, también se les deberá notificar a ellos.

  1. Transferencias internacionales

Los datos solo podrán ser comunicados fuera de la UE en tres casos: si es a países o territorios a los que la Comisión reconoce un nivel adecuado; si se otorgan las garantías adecuadas sobre las medidas de seguridad; atendiendo al interés del titular de los datos o a intereses generales.

  1. Las autoridades de protección de datos

La nueva normativa sigue manteniendo la existencia de los diferentes reguladores nacionales y sus funciones. Pero, ahora estarán coordinados por un organismo dependiente de la Comisión Europea: el Comité Europeo de Protección de Datos.

Pero, el RGPD establece novedades:

  • Para los titulares de los datos se establece un sistema de ventanilla única. Es decir, en caso de que tengan que hacer reclamaciones dentro de los Estados miembros, podrán acudir ante la autoridad de su país.

  • Los responsables y encargados de tratamiento, que tengan centros en diversos Estados miembros, podrán centralizar la organización de su Sistema de Gestión de la Privacidad en un único país (estableciendo una autoridad de control principal).

 

Comments

Comentarios desactivados