¿Sabia Vd?....

Cuenta atrás para la  adaptación al nuevo Reglamento General de Protección de Datos (RGPD) Parte I

El próximo 25 de mayo de 2018 será de obligado cumplimiento el Reglamento General de Protección de Datos de la Unión Europea (RGPD). Son muchas las obligaciones que tanto las empresas, autónomos y organismos públicos y privados que traten datos de carácter personal deben conocer y el tiempo es escaso, por lo que es necesario adoptar sin dilación las decisiones necesarias para llegar a ese plazo en situación de cumplimiento. El riesgo de no hacerlo es el de posibles sanciones: las multas pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual global del infractor. La autoridad de control puede actuar de oficio o por denuncia de los interesados.

A partir del próximo 25 de mayo de 2018 entra en vigor el  nuevo Reglamento Europeo General de Protección de Datos (RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, una norma que será de aplicación obligatoria a partir de esa fecha y que impone a las empresas numerosos deberes en relación a la privacidad.

Queda, además, pendiente la aprobación de la nueva Ley Orgánica de Protección de Datos, que se encuentra actualmente en tramitación parlamentaria y que muy probablemente no estará lista para el próximo 25 de mayo, fecha de aplicación del Reglamento europeo. De todas formas, esto no supone ningún tipo de ventaja o inconveniente, puesto que el Reglamento europeo será plenamente exigible de todas formas.

Atención. El RGPD es un tipo de norma que tiene aplicación directa en todos los estados de la UE y, por tanto, no precisa de ningún tipo de mecanismo de transposición específico. Dicho de otra forma, no hace falta que exista ninguna ley española para que el Reglamento europeo resulte obligatorio, es exigible como si fuera una ley nacional.

Es importante establecer un mapa de ruta para cumplir con el nuevo Reglamento, ya que hay numerosas decisiones jurídicas relevantes a tener en cuenta.

El primer paso que todas las empresas deberían ejecutar es identificar y analizar las áreas de riesgo y documentar los tratamientos de datos personales que se llevan a cabo, a través de un inventario de todas las actividades de tratamiento que realiza la compañía. De esta manera será más sencillo clasificar los datos de acuerdo con: su naturaleza, finalidad, categoría, origen, si son susceptibles de ser compartidos, etc.

Son muchas las obligaciones que tanto las empresas, autónomos y organismos públicos y privados que traten datos de carácter personal deben conocer y el tiempo es escaso, por lo que es necesario adoptar sin dilación las decisiones necesarias para llegar a ese plazo en situación de cumplimiento. El riesgo de no hacerlo es el de posibles sanciones: las multas pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual global del infractor. La autoridad de control puede actuar de oficio o por denuncia de los interesados.

En cuanto a los cambios y obligaciones que afectan a las empresas, podemos destacar entre otros los siguientes:

·         Delegado de Protección de Datos (DPD / DPO). El Reglamento obliga a quienes realicen ciertos tratamientos, a nombrar un DPO, que podrá ser externo o interno. Un DPO deberá ser una persona experta en Protección de Datos y en métodos y técnicas de Seguridad de la información.

·         Exigencia de la realización de una evaluación de impacto relativa a  la protección de datos para ciertos tratamientos.

·         Violaciones de la seguridad de los datos personales. Obligatoriedad de comunicarlas  en un plazo de 72 horas a la Agencia Española de Protección de Datos, y en casos graves, a los propios afectados.

·         Se elimina el consentimiento tácito (por silencio), lo que obligará a las empresas a recabar un nuevo consentimiento para poder mantener todos aquellos datos que en el pasado se obtuvieron tácitamente o buscarles otra cobertura legal.

·         Se amplían las obligaciones de información a los afectados, lo que obligará ponerles al día en dicha información a los ya existentes.

·         Se amplía el contenido mínimo en los contratos de acceso a datos por parte de terceros, por lo que deberán de establecerse de nuevo los contratos con los encargados de tratamiento, dado que los actuales no cumplen con el RGPD.

·         El RGPD no establece diferenciación entre datos personales y datos ‘profesionales’ (datos de contacto de personas físicas que prestan sus servicios en una persona jurídica y empresarios individuales) como estableció el vigente Reglamento, lo que obligará a las empresas a tener que realizar acciones informativas a esta categoría de datos.

1.- CONSENTIMIENTO EXPRESO

Se establece la obligación de las empresas de obtener un consentimiento expreso, inequívoco y verificable, y no tácito de la información que se obtenga de sus clientes. Se considera consentimiento tácito cuando, después de haber recibido la información correspondiente, el usuario no dice que no (ejemplo: “si no me contestas antes de 30 días, entonces te enviaré información comercial de terceros”).

Por tanto, el consentimiento tácito se considera válido, siempre y cuando no nos encontremos ante datos especialmente protegidos.

Atención: A partir de la entrada en vigor del nuevo RGPD, no se podrá seguir obteniendo el consentimiento de los afectados por omisión. Será necesario revisar todos los tratamientos anteriores, para adecuarlos a las previsiones de la nueva normativa.

Puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación).

2.- TRANSPARENCIA EN LA INFORMACIÓN

Será necesario que las empresas detallen explícitamente y con un lenguaje comprensible los datos e información personal requerida al usuario o cliente y solo se podrá tratar los datos en caso que tengan un interés legítimo.

El deber de informar a los afectados sobre el uso y las finalidades del tratamiento de datos, sufre una importante modificación con el nuevo RGPD, pues se amplía considerablemente la información que se les debe suministrar, incluyendo aspectos no contemplados hasta la fecha como:

• Base jurídica del tratamiento
• Intención de realizar transferencias internacionales
• Datos del Delegado de Protección de Datos (si lo hubiere)
• El plazo o los criterios de conservación de la información,
• La existencia de decisiones automatizadas o elaboración de perfiles,
• El derecho a presentar una reclamación ante las Autoridades de Control

Atención. Los procedimientos, modelos o formularios diseñados de conformidad con la LOPD, deberán ser revisados y adaptados al nuevo RGPD, tanto para adaptarlos al nuevo contenido del deber de informar, como para ajustar su forma a los requisitos de precisión y claridad que exige la nueva normativa.

3.- SEGURIDAD

Las empresas están obligadas a informar cuando hayan sufrido una brecha de seguridad a las autoridades de control y, dependiendo de la gravedad, a los afectados. Aunque es un asunto necesario hoy en día, el reglamento establece la necesidad de dejar plasmada una estrategia en materia de seguridad.

En la nueva normativa, las medidas de seguridad no aparecen tan detalladas, sino que cada organización deberá contar con un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

Además, la tipología de los datos no será la única variable a tomar en consideración a la hora de determinar las medidas técnicas y organizativas aplicables sino que, por el contrario, el nuevo RGDP tiene en cuenta:

• El coste de la técnica
• Los costes de aplicación
• La naturaleza, el alcance, el contexto y los fines del tratamiento
• Los riesgos para los derechos y libertades

Atención. El esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD no seguirá siendo válido de forma automática. Es necesario determinar, caso por caso, las medidas aplicables, bajo un enfoque de riesgo, basado en el principio de la seguridad desde el diseño y por defecto.  

4.- ENCARGADOS DE TRATAMIENTO

También la figura de los encargados de tratamiento sufre importantes cambios en la nueva regulación. En síntesis, estos cambios se pueden resumir en tres puntos:

1) El nuevo RGPD establece obligaciones expresamente dirigidas a los encargados de tratamiento, como:

• Mantener un registro de actividades de tratamiento.
• Determinar las medidas de seguridad aplicables a los tratamientos que realizan.
• Designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.

2) Se acentúa el deber de diligencia en la elección del encargado del tratamiento, de manera que los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas.

3) Se modifica el contenido mínimo que debe incluir el contrato con el encargado del tratamiento, incluyendo aspectos como:

• Objeto, duración, naturaleza y la finalidad del tratamientos
• Tipo de datos personales y categorías de interesados
• Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable
• Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones
• Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados...

Atención. Se deben revisar todos los contratos de encargo de tratamiento firmados con anterioridad, para verificar si cumplen las nuevas exigencias del RGPD.