Algunas claves del nuevo Reglamento europeo de protección de datos personales

Coinciden prácticamente todos los expertos que los datos personales son el petróleo del siglo XXI. Su importancia es de tal entidad que actualmente se los considera como la materia prima más codiciada a nivel global.

Consciente de la importancia que tiene el derecho a la protección de los datos personales en los tiempos actuales y con el objetivo de adecuar la protección de datos a la era digital en la que vivimos, la Unión Europea aprobó en el año 2016 un Reglamento General de Protección de Datos (RGPD), que será aplicable a todas las empresas y organizaciones públicas y privadas a partir del próximo 25 de mayo de 2018.

El nuevo RGPD establece un único marco normativo para todos los países que integran la Unión Europea, armonizando las normativas vigentes en materia de protección de datos, con el propósito de devolver a los ciudadanos el control de sus datos personales, ampliando los estándares de protección, confianza y seguridad jurídica.

Los imparables avances tecnológicos, los riesgos ligados al desarrollo de Internet, los datos personales que se suben a la denominada nube digital o “cloud computing”, los datos personales que se almacenan en la navegación por la web o en las redes sociales, y los nuevos modelos de negocio, hacían necesaria un nuevo marco legal que garantice la protección de los datos personales y limite el uso que las empresas hacen de los datos personales de las personas físicas.

El RGPD obligará a las empresas, independientemente de su tamaño y de su forma jurídica, a adaptarse rápidamente a la nueva normativa.

Desde la Agencia Española de Protección de Datos se ha preparado una guía, con un formato didáctico que permite una fácil comprensión del RGPD y así facilitar a las empresas y al resto de organizaciones su adaptación a los importantes cambios que deberán aplicarse en mayo de 2018.

A continuación, reseñamos algunas de las novedades del RGPD:

  • Empresas a las que se aplica el RGPD

El Reglamento se aplicará a todos los responsables o encargados de tratamiento de datos establecidos en la Unión Europea (UE) y también a los responsables y encargados que no estén establecidos en la UE, siempre que realicen tratamientos de datos derivados de una oferta de bienes o servicios destinados a ciudadanos de la UE o como consecuencia de una monitorización y seguimiento de su comportamiento.

En tal sentido, estas empresas quedan obligadas a designar un representante en la UE, que actuará como punto de contacto con la Agencia de protección de datos personales y con los ciudadanos.

Se trata de una importante novedad y supone una garantía adicional para los ciudadanos europeos. En la actualidad, para tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el Reglamento pretende adaptar los criterios a la realidad del mundo de internet.

Como consecuencia de esto, el Reglamento permitirá que el mismo sea aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en la UE y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea.

  • Refuerzo de los principios de protección de datos

Para poder tratar datos personales de forma legítima, las empresas deben obtener el consentimiento de forma inequívoca. Cuando se traten datos sensibles (de salud, por ejemplo), el consentimiento debe ser explícito.

Con el RGPD el consentimiento debe ser obtenido mediante un acto afirmativo, ya no valdrá el consentimiento tácito. Al igual que con la actual LOPD, los datos personales obtenidos deben ser adecuados, pertinentes y limitados a lo necesario, en relación a las finalidades con las que son recabados.

La empresa responsable del fichero de datos personales queda obligada a demostrar que obtuvo el consentimiento de forma legítima por parte del titular de los datos o de su representante legal, en el caso de menores de edad o de incapaces.

En relación con este apartado, aconsejamos a las empresas que revisen la forma en la que están obteniendo y registrando el consentimiento de las personas que contratan sus servicios o adquieren sus productos. Determinados tratamientos de datos que son aceptadas bajo la actual LOPD dejarán de serlo cuando el Reglamento sea de aplicación en mayo del próximo año.

  • Nuevas obligaciones para las empresas responsables y encargadas de tratamiento de datos personales

Obligación de llevar un Registro de las actividades de tratamiento que efectúa. Además, todos los responsables y encargados de tratamiento quedan obligados a cooperar con las autoridades de control (Agencia de Protección de Datos).

El contenido de este Registro de las actividades de tratamiento está contemplado en el art. 30 del RGPD.

  • Nuevas herramientas de control de sus datos para las personas físicas.

El Reglamento introduce nuevos derechos, como el derecho al olvido y el derecho a la portabilidad de los datos, que mejoran la capacidad de decisión y control de las personas sobre los datos personales que confían a las empresas y a terceros.

El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.

Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.

  • Responsabilidad activa por parte de las empresas que tratan datos personales

Se trata de uno de los aspectos esenciales del Reglamento y se fundamenta en la prevención por parte de las empresas u organizaciones que tratan datos.

Todas las empresas quedan obligadas a adoptar distintas medidas de seguridad que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el RGPD establece.

En este sentido, el Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Para ello, el Reglamento prevé una batería completa de medidas:

– Protección de datos desde el diseño.

– Protección de datos por defecto.

– Medidas de seguridad.

– Mantenimiento de un registro de tratamientos.

– Realización de evaluaciones de impacto sobre la protección de datos.

– Nombramiento de un delegado de protección de datos.

– Notificación de violaciones de la seguridad de los datos.

– Promoción de códigos de conducta y esquemas de certificación.

  • Mayor carga de obligaciones para las empresas.

El Reglamento supone un mayor compromiso por parte de las empresas con la protección de datos.

Sin embargo, ello no implica necesariamente ni en todos los casos una mayor carga de obligaciones. En muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.

Algunas de las medidas que introduce el reglamento son una continuación o reemplazan a otras ya existentes, como es el caso de las medidas de seguridad o de la obligación de documentación y, hasta cierto punto, la evaluación de impacto y la consulta a las autoridades de supervisión.

Otras constituyen la formalización en una norma legal de prácticas ya muy extendidas en las empresas.

En todos los casos, el Reglamento prevé que la obligación de estas medidas, o el modo en que se apliquen, dependerá de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos.

Por todo ello, es necesario que todas las empresas que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo.

Estos análisis pueden ser operaciones muy simples en entidades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo, datos sensibles, u operaciones más complejas en entidades que desarrollen muchos tratamientos, que afecten a gran cantidad de interesados o que por sus características requieren de una valoración cuidadosa de sus riesgos.

Las Autoridades de protección de datos europeas de forma colectiva, y la Agencia española individualmente, están trabajando en el desarrollo de herramientas que faciliten la identificación y valoración de riesgos y en recomendaciones sobre la aplicación de medidas, especialmente en relación con Pymes que realizan los tratamientos de datos más habituales en la gestión empresarial.

En este sentido, la Agencia española de protección de datos ha presentado recientemente una herramienta denominada “Facilita RGPD”, que ayuda a las empresas a cumplir con la protección de datos personales. Desde el siguiente link puede accederse a la misma: https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/herramientas_ayuda/index-ides-idphp.php

Últimas noticias