¿Sabia Vd?....
El próximo 25 de
mayo de 2018 será de obligado cumplimiento el Reglamento General de Protección
de Datos de la Unión Europea (RGPD). Son muchas las obligaciones que tanto las
empresas, autónomos y organismos públicos y privados que traten datos de
carácter personal deben conocer y el tiempo es escaso, por lo que es necesario
adoptar sin dilación las decisiones necesarias para llegar a ese plazo en
situación de cumplimiento. El riesgo de no hacerlo es el de posibles sanciones:
las multas pueden llegar hasta los 20 millones de euros o el 4% de la
facturación anual global del infractor. La autoridad de control puede actuar de
oficio o por denuncia de los interesados.
A
partir del próximo 25 de mayo de 2018 entra en vigor el nuevo Reglamento Europeo General de
Protección de Datos (RGPD), relativo a la protección de las personas físicas en
lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos, una norma que será de aplicación obligatoria a partir de esa fecha
y que impone a las empresas numerosos deberes en relación a la privacidad.
Queda,
además, pendiente la aprobación de la nueva Ley Orgánica de Protección de
Datos, que se encuentra actualmente en tramitación parlamentaria y que muy
probablemente no estará lista para el próximo 25 de mayo, fecha de aplicación
del Reglamento europeo. De todas formas, esto no supone ningún tipo de ventaja
o inconveniente, puesto que el Reglamento europeo será plenamente exigible de
todas formas.
Atención. El RGPD es un tipo de norma que tiene aplicación directa en todos los
estados de la UE y, por tanto, no precisa de ningún tipo de mecanismo de
transposición específico. Dicho de otra forma, no hace falta que exista ninguna
ley española para que el Reglamento europeo resulte obligatorio, es exigible
como si fuera una ley nacional.
Es
importante establecer un mapa de ruta para cumplir con el nuevo Reglamento, ya
que hay numerosas decisiones jurídicas relevantes a tener en cuenta.
El
primer paso que todas las empresas deberían ejecutar es identificar y analizar las áreas de riesgo y documentar los
tratamientos de datos personales que se llevan a cabo, a través de un
inventario de todas las actividades de tratamiento que realiza la compañía. De
esta manera será más sencillo clasificar los datos de acuerdo con: su
naturaleza, finalidad, categoría, origen, si son susceptibles de ser
compartidos, etc.
Son
muchas las obligaciones que tanto las empresas, autónomos y organismos públicos
y privados que traten datos de carácter personal deben conocer y el tiempo es
escaso, por lo que es necesario adoptar sin dilación las decisiones necesarias
para llegar a ese plazo en situación de cumplimiento. El riesgo de no hacerlo
es el de posibles sanciones: las multas pueden llegar hasta los 20 millones de
euros o el 4% de la facturación anual global del infractor. La autoridad de control
puede actuar de oficio o por denuncia de los interesados.
En
cuanto a los cambios y obligaciones que afectan a las empresas, podemos
destacar entre otros los siguientes:
·
Delegado de Protección de Datos (DPD / DPO). El
Reglamento obliga a quienes realicen ciertos tratamientos, a nombrar un DPO,
que podrá ser externo o interno. Un DPO deberá ser una persona experta en
Protección de Datos y en métodos y técnicas de Seguridad de la información.
·
Exigencia de la realización de una evaluación
de impacto relativa a la protección de
datos para ciertos tratamientos.
·
Violaciones de la seguridad de los datos
personales. Obligatoriedad de comunicarlas
en un plazo de 72 horas a la Agencia Española de Protección de Datos, y
en casos graves, a los propios afectados.
·
Se elimina el consentimiento tácito (por
silencio), lo que obligará a las empresas a recabar un nuevo consentimiento
para poder mantener todos aquellos datos que en el pasado se obtuvieron
tácitamente o buscarles otra cobertura legal.
·
Se amplían las obligaciones de información a
los afectados, lo que obligará ponerles al día en dicha información a los ya
existentes.
·
Se amplía el contenido mínimo en los contratos
de acceso a datos por parte de terceros, por lo que deberán de establecerse de
nuevo los contratos con los encargados de tratamiento, dado que los actuales no
cumplen con el RGPD.
·
El RGPD no establece diferenciación entre datos
personales y datos ‘profesionales’ (datos de contacto de personas físicas que
prestan sus servicios en una persona jurídica y empresarios individuales) como
estableció el vigente Reglamento, lo que obligará a las empresas a tener que
realizar acciones informativas a esta categoría de datos.
1.-
CONSENTIMIENTO EXPRESO
Se
establece la obligación de las empresas de obtener un consentimiento expreso,
inequívoco y verificable, y no tácito de la información que se obtenga de sus
clientes. Se considera consentimiento tácito cuando, después de haber recibido
la información correspondiente, el usuario no dice que no (ejemplo: “si no me
contestas antes de 30 días, entonces te enviaré información comercial de
terceros”).
Por
tanto, el consentimiento tácito se considera válido, siempre y cuando no nos
encontremos ante datos especialmente protegidos.
Atención: A partir de la entrada en vigor
del nuevo RGPD, no se podrá seguir obteniendo el consentimiento de los
afectados por omisión. Será necesario revisar todos los tratamientos
anteriores, para adecuarlos a las previsiones de la nueva normativa.
Puede
ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción
del interesado (por ejemplo, cuando el interesado continúa navegando por una
web y acepta así el que se utilicen cookies para monitorizar su navegación).
2.-
TRANSPARENCIA EN LA INFORMACIÓN
Será
necesario que las empresas detallen explícitamente y con un lenguaje
comprensible los datos e información personal requerida al usuario o cliente y
solo se podrá tratar los datos en caso que tengan un interés legítimo.
El
deber de informar a los afectados sobre el uso y las finalidades del
tratamiento de datos, sufre una importante modificación con el nuevo RGPD, pues
se amplía considerablemente la
información que se les debe suministrar, incluyendo aspectos no
contemplados hasta la fecha como:
- Base jurídica del
tratamiento
- Intención de realizar
transferencias internacionales
- Datos del Delegado de
Protección de Datos (si lo hubiere)
- El plazo o los
criterios de conservación de la información,
- La existencia de
decisiones automatizadas o elaboración de perfiles,
- El derecho a presentar
una reclamación ante las Autoridades de Control
Atención. Los procedimientos, modelos o
formularios diseñados de conformidad con la LOPD, deberán ser revisados y
adaptados al nuevo RGPD, tanto para adaptarlos al nuevo contenido del deber de
informar, como para ajustar su forma a los requisitos de precisión y claridad
que exige la nueva normativa.
3.-
SEGURIDAD
Las
empresas están obligadas a informar cuando hayan sufrido una brecha de
seguridad a las autoridades de control y, dependiendo de la gravedad, a los
afectados. Aunque es un asunto necesario hoy en día, el reglamento establece la
necesidad de dejar plasmada una estrategia en materia de seguridad.
En
la nueva normativa, las medidas de seguridad no aparecen tan detalladas, sino
que cada organización deberá contar con
un nivel de seguridad adecuado en función de los riesgos detectados en el
análisis previo.
Además,
la tipología de los datos no será la única variable a tomar en consideración a
la hora de determinar las medidas técnicas y organizativas aplicables sino que,
por el contrario, el nuevo RGDP tiene en cuenta:
- El coste de la técnica
- Los costes de
aplicación
- La naturaleza, el
alcance, el contexto y los fines del tratamiento
- Los riesgos para los
derechos y libertades
Atención. El esquema de medidas de
seguridad previsto en el Reglamento de Desarrollo de la LOPD no seguirá siendo
válido de forma automática. Es necesario determinar, caso por caso, las medidas
aplicables, bajo un enfoque de riesgo, basado en el principio de la seguridad
desde el diseño y por defecto.
4.-
ENCARGADOS DE TRATAMIENTO
También
la figura de los encargados de tratamiento sufre importantes cambios en la
nueva regulación. En síntesis, estos cambios se pueden resumir en tres puntos:
1)
El nuevo RGPD establece obligaciones
expresamente dirigidas a los encargados de tratamiento, como:
- Mantener un registro
de actividades de tratamiento.
- Determinar las medidas
de seguridad aplicables a los tratamientos que realizan.
- Designar a un Delegado
de Protección de Datos en los casos previstos por el RGPD.
2)
Se acentúa el deber de diligencia en la
elección del encargado del tratamiento, de manera que los responsables
habrán de elegir únicamente encargados que ofrezcan garantías suficientes para
aplicar medidas técnicas y organizativas apropiadas.
3)
Se modifica el contenido mínimo que debe
incluir el contrato con el encargado del tratamiento, incluyendo aspectos
como:
- Objeto, duración,
naturaleza y la finalidad del tratamientos
- Tipo de datos
personales y categorías de interesados
- Obligación del
encargado de tratar los datos personales únicamente siguiendo
instrucciones documentadas del responsable
- Condiciones para que
el responsable pueda dar su autorización previa, específica o general, a
las subcontrataciones
- Asistencia al
responsable, siempre que sea posible, en la atención al ejercicio de
derechos de los interesados...
Atención. Se deben revisar todos los
contratos de encargo de tratamiento firmados con anterioridad, para verificar
si cumplen las nuevas exigencias del RGPD.
Comentarios
Publicar un comentario
Gracias por su apreciable colaboracion, lo antes posible le contestaremos. El Grupo de Colaboradores de Estudio Juridico 4,S.L., Calle Luz Casanova,12,46009 Valencia. Tel 963689510 email: ej4@estudiojuridico4.es