CUENTA ATRÁS para el Reglamento General de Protección de Datos

CUENTA ATRÁS para la aplicación del Reglamento General de Protección de Datos

RGPD UE 2016-679

¿Por qué un nuevo Reglamento de Protección de Datos?

Este Reglamento es el resultado de varios años de debate, debido al avance de las nuevas tecnologías en las últimas años, la popularización del uso de Internet, las redes sociales, apps, y el análisis avanzado de datos, entre otros, ha cambiado la manera en la que nos comunicamos, y las formas de comprar, se ha tenido que regular aspectos que se derivan de dicha evolución tecnológica, como son la privacidad y la protección de datos, así lo que busca el reglamento es asentar las bases de una normativa de privacidad que se adecúe a la tecnología de hoy.

El nuevo Reglamento Europeo de Protección de Datos (RGPD) será aplicable a partir del próximo 25 de mayo de 2018. En España, el Reglamento causa un “desplazamiento normativo” de la LOPD en todo lo que se oponga a la regulación europea. En definitiva el  Reglamento moderniza la normativa europea sobre protección de datos e unifica las legislaciones de los diferentes estados miembros,

El Reglamento es de aplicación tanto a empresas como a profesionales responsables o encargados del tratamiento de datos, establecido su domicilio social en UE, como aquellos que lo tengan establecido fuera de la UE, cuando las actividades tratamiento están relacionadas con la oferta de bienes o servicios o con el control del comportamiento de las personas, si tienen lugar en la UE. Un ejemplo claro de ello es Amazon con domicilio fuera de la UE, aunque vende productos dentro de la UE.

El Reglamente está ideado para otorgar un mayor control sobre los datos personales, estableciendo unas reglas comunes en toda Europa de protección de los mismos, generando una mayor confianza para los consumidores europeos que compran a los diferentes estados de la UE. Por lo tanto se amplían las obligaciones de las empresas europeas, autónomos, administraciones públicas, y también de aquellas empresas ubicadas fuera de la Unión Europea que ofrezcan sus productos o servicios a usuarios de países miembros, o que reciban datos personales desde la UE.

¿Qué novedades aporta este nuevo Reglamento?

Obtención del consentimiento para el tratamiento de datos

El RGPD aunque mantendrá los mismos principios del consentimiento que establece la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco, el nuevo RGPD indica que para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad, el silencio, casillas de verificación ya marcadas o la inacción no constituirán nunca prueba de consentimiento.

En cuanto al consentimiento de clientes o usuarios ya existentes, si dicho consentimiento no se estaba claramente identificado o se basó en formas tácitas o por omisión, deberá volverse a solicitar. El RGPD entiende que el tratamiento de datos sin consentimiento es una infracción muy grave.

Las empresas deberán poder mostrar cómo y cuándo han obtenido el consentimiento, y cual es o será la finalidad específica, explícita y legítima de los datos recogidos.

Igualmente se ha de informar sobre la posibilidad de retirar el consentimiento en cualquier momento.

Los interesados pueden realizar solicitudes, para acceder a la información sobre cómo se están procesando sus datos, que deberán ejecutarse “sin dilación y a más tardar en el plazo de un mes desde la recepción de la  solicitud”.

Si dichas solicitudes de acceso a los datos son manifiestamente infundadas o excesivas, las empresas podrán cobrar un canon razonable por proporcionar la información.

Consentimiento en menores de edad. Desde el 25 de mayo de 2018 no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será menos de 13 años.

Nuevos principios, como:

  • Principio de Transparencia, facilitar las relaciones entre el responsable de los datos y el interesado, así como entre el responsable de los datos y las autoridades de control, así el registro de actividades de tratamiento se realiza de forma interna.
  • Principio de limitación de la finalidad, los datos personales serán recogidos con fines determinados, explícitos y legítimos, determinándose en el momento de la recogida.
  • Minimización de datos, que solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.

Nuevos derechos, como:

Además de los ya conocidos, en España, como los  derechos de ARCO, se suman otros derechos como el Derecho a la transparencia de la información, Derecho de supresión (derecho al olvido), Derecho de limitación y Derecho de portabilidad.

Ampliación del deber de información

Desde el 25 de mayo de 2018, además de los datos que se vienen informando, el Reglamento exige la obligación de informar sobre nuevos aspectos: 

  • explicar la base legal para el tratamiento de los datos
  • informar acerca del periodo de conservación de los datos
  • informar si los datos se transferirán a un tercer país y la existencia o ausencia de las garantías adecuadas
  • informar sobre el derecho del interesado a presentar una reclamación ante una autoridad de control competente
  • informar del derecho del interesado a acceder, rectificar, y suprimir sus datos personales, a limitar y oponerse al tratamiento de los mismos, y el derecho a la portabilidad de sus datos

Medidas de seguridad

El Reglamento establece que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas adecuadas al riesgo que conlleva el tratamiento. Ello implica tener que hacer una evaluación de los riesgos asociados a cada tratamiento, para determinar las medidas de seguridad a implementar, por lo tanto el RGPD exige es que las empresas tengan una actitud consciente, diligente y proactiva del tratamiento de los datos, pudiendo demostrar, si llegara el caso, las medidas de seguridad aplicadas. En determinados casos se tendrá que realizar una evaluación de impacto en la protección de datos personales (EIPD).

Notificación de violaciones de seguridad

El responsable del tratamiento de los datos deberá notificar a la autoridad de control competente (AEPD en España) cualquier brecha de seguridad que se haya producido en el plazo máximo de 72 horas desde que ocurra) de no poderse se hará con posterioridad, acompañada de una explicación del retraso), a menos que sea improbable que constituya un riesgo para los derechos y libertades de las personas.

Además, si la brecha implica un alto riesgo para los interesados, el responsable lo deberá comunicar a las personas afectadas sin dilaciones indebidas y en un lenguaje claro y sencillo, excepto si el responsable hubiera adoptado medidas de protección adecuadas, como que los datos no sean inteligibles para personas no autorizadas, que haya aplicado medidas ulteriores que garanticen que ya no existe la probabilidad de que se concrete el alto riesgo o suponga un esfuerzo desproporcionado.

Delegado de protección de datos (DPD)

El Reglamento introduce la figura del delegado de protección de datos, que podrá formar parte de la plantilla del responsable o encargado o actuar en el marco de un contrato de servicios.

El DPD es un el asesor de protección de datos de la empresa, y asume competencias en materia de coordinación y control del cumplimiento de la normativa en materia de protección de datos.

El DPD no es obligatoria para todas, solo en determinados casos, cuando el tratamiento requiera la observación habitual y sistemática de interesados a gran escala o cuando el tratamiento tenga por objeto categorías especiales de datos personales o datos relativos a condenas o infracciones penales

La designación del delegado y sus datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión competentes.

Los DPD cuentan con la total autonomía en el ejercicio de sus funciones, y son nombrados atendiendo a sus cualificaciones profesionales, conocimiento de la legislación y la práctica de la protección de datos e informática. El DPD llegará a tener una titulación específica.

Protección de datos desde el diseño y por defecto

La privacidad en el diseño supone aplicar las necesarias garantías de protección de datos desde la fase inicial de planificación para cualquier desarrollo tecnológico como una app o programa, un desarrollo de comercio electrónico, etc. siempre que en ello se vayan a tratar datos personales.

La privacidad por defecto consiste en ofrecer las máximas garantías de privacidad por defecto en esas apps, programas y en general productos o servicios que vayan a tratar datos personales mediante configuraciones de privacidad marcadas por defecto con garantías de privacidad para el interesado.

Transferencias internacionales

El RGPD sigue los criterios de la Directiva 95/46 y por las legislaciones nacionales de trasposición, así los datos sólo podrán ser comunicados fuera del Espacio Económico Europeo siguiendo unas determinadas pautas.

Sanciones

Con el RGPD y a partir del 25 Mayo 2018 se incrementan las cuantías de las sanciones, así dependiendo del artículo del Reglamento General de Protección de Datos que haya sido vulnerado, y sin prejuicio del derecho de indemnización que el Interesado pudiera reclamar judicialmente, las sanciones impuestas sobre infracciones al RGPD pueden ascender de los 10 millones de euros (o el 2% como máximo del volumen de negocio total anual global) hasta los 20 millones de euros(o el 4% como máximo del volumen de negocio total anual global).

Ventanilla única

El RGPD mantiene la existencia de los diferentes reguladores nacionales aunque ahora estarán coordinados por un organismo dependiente, el Comité Europeo de Protección de Datos.

Ventanilla única para los titulares de los datos, así en caso de que tengan que realizar una reclamación dentro de cualquiera de los Estados miembros, podrán acudir ante la autoridad de su país.

En cuanto a los responsables y encargados del tratamiento que tenga centros en Estados miembros, podrán centralizar la organización de su Sistema de Gestión de la Privacidad en una única autoridad de protección de datos como interlocutora.

Como vemos son muchas y muy importantes las novedades que nos trae este Reglamento, por lo que no debemos esperar hasta el último momento y comenzar ya su adaptación y a adecuar sus procesos internos a los requisitos del RGPD.

Desde Openley le ayudamos con ello, contáctenos para más información.

Emprendedora por naturaleza, abogada apasionada por las nuevas tecnologías, de las causas justas y los animales.

Comentar este artículo