0034 609 922 306 legal@trilogia.com

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018. Este periodo de dos años ha tenido como objetivo permitir que los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.

El RGPD, que se aplicará a partir del 25 de mayo de 2018, establece nuevos derechos para los ciudadanos que se suman a los tradicionales ARCO: (Acceso, Rectificación, Cancelación y Oposición) recogidos en la actual normativa española se añaden nuevos elementos que mejoran la capacidad de decisión y control de los ciudadanos sobre sus propios datos personales.

Ejercer estos derechos será gratuito para el ciudadano (al igual que sucede ahora con los derechos ARCO) excepto cuando se formulen solicitudes manifiestamente infundadas o excesivas y, en cualquier caso, si hubiera un coste, este no podrá implicar un ingreso adicional para quien trata los datos y debe limitarse al verdadero coste de tramitar la solicitud.

Obtención del consentimiento para el tratamiento de datos

  • Normativa actual (LOPD): La actual LOPD exige el consentimiento inequívoco de los interesados para el tratamiento de sus datos. No obstante, si los datos recabados no son especialmente sensibles, se admite que dicho consentimiento pueda ser tácito, tal y como se establece en el Informe Jurídico 0645/2009 emitido por la Agencia Española de Protección de Datos. Por otra parte, en relación con el tratamiento de datos de menores, la LOPD establece, salvo excepciones legales,  la posibilidad de recabar datos personales de mayores de 14 añossin necesidad de recabar el consentimiento de sus padres.
  • Normativa futura (RGPD): El RGPD mantendrá los mismos principios del consentimiento que establece la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco. Sin embargo, como novedad respecto de la LOPD, indica que para poder considerar que el consentimiento es inequívoco, deberá existir  una declaración del interesado o una acción positiva que manifieste su conformidad. El silencio, las casillas ya marcadas o la inacción no constituirán prueba de consentimiento (Considerando 32 del RGPD).

Se establecen asimismo condiciones específicas para obtener el consentimiento de los menores: no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será menos de 13 años.

  • Recomendaciones: Es aconsejable que las empresas y organismos revisen  la forma en la que recaban el  consentimiento y eliminen las prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa pero que dejarán de serlo cuando el Reglamento sea de aplicación.  Asimismo, en relación con el tratamiento de datos de menores, se recomienda aplicar ya los requisitos de edad establecidos en el RGPD.

Deber de información

  • Normativa actual (LOPD): Nuestra legislación actual establece la obligación de informar en todo proceso de recogida de datos personales sobre la existencia de un fichero o tratamiento de datos de carácter personal, la identidad del responsable del tratamiento,  la finalidad de la recogida de los datos y de los destinatarios de la información, así como de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.  Asimismo, cuando los datos personales se hayan obtenido de terceros, el responsable del tratamiento dispondrá de un plazo de tres mesespara informar al interesado, debiendo indicar la procedencia de los datos.
  • Normativa aplicable en 2018 (RGPD): El Reglamento establece la obligación de informar sobre nuevos aspectos. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, el período de conservación de los mismos y que los interesados podrán dirigir sus reclamaciones a las Autoridades de protección de datos, si consideran que hay un problema con la forma en que están manejando sus datos.  En lo que respecta al interesado cuyos datos se han obtenido de otra fuente, la información anteriormente indicada deberá facilitarse en el plazo de máximo de un mes(en lugar de los tres meses indicados en la LOPD).
  • Recomendación: Es aconsejable que las empresas y organismos comiencen ya a revisar los contenidos de las leyendas legales que hayan incorporado en los procesos de recogida de datos (on line/ off line) para ir adecuando la redacción a los nuevos requerimientos del RGPD.

Derechos de los interesados

  • Normativa actual (LOPD): los derechos reconocidos en la actual LOPD son los siguientes:
    • Derecho de acceso
    • Derecho de rectificación
    • Derecho de oposición
    • Derecho de cancelación.
  • Normativa futura (RGPD): En el RGPD se incluyen, además de los anteriores, los siguientes derechos:
    • Derecho a la transparencia de la información
    • Derecho de supresión (derecho al olvido)
    • Derecho de limitación
    • Derecho de portabilidad.

Otra novedad, respecto de la LOPD, es que se establece la obligación para el responsable del tratamiento de proporcionar medios para que las solicitudes de ejercicio de derechos se presenten por medios electrónicos, en particular cuando los datos personales se hayan recabado a través de estos medios (Considerando 59).

  • Recomendaciones: Es aconsejable que las organizaciones comiencen a implementar en sus procedimientos de información (leyendas legales incluidas en los procesos de recogida de datos de carácter personal) los nuevos derechos que asisten a los interesados.

Evaluación de impacto del tratamiento de datos personales

  • Normativa actual (LOPD): No se regula en la LOPD.
  • Normativa aplicable en 2018 (RGPD): Se establece  la obligación de realizar una evaluación de impacto (Privacy Impact Assesment) para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas, en la que se evalúe el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo (Considerando 84 del RGPD).
  • Recomendaciones: En 2014, la Agencia Española de Protección de Datos publicó la Guía para una Evaluación de Impacto en la protección de Datos Personales. Se trata de un documento de referencia del que las organizaciones pueden disponer para ir estableciendo las bases y aspectos esenciales que deberán tener en cuenta en el proceso de la evaluación de impacto que deberán realizar.

Comunicación de fallos a la autoridad de protección de datos

  • Normativa actual (LOPD): No se regula en la LOPD.
  • Normativa aplicable en 2018 (RGPD): Se trata de una nueva obligación del RGPD que impone al responsable del tratamiento la obligación de notificar los fallos de seguridad que se produzcan en su organización, a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas. El responsable del tratamiento debe contar con un sistema efectivo para realizar el reporte a la AEPD o para comunicar el fallo a los afectados si existe algún riesgo para sus derechos.
  • Recomendaciones: Hasta el momento de aplicación efectiva del RGPD, las organizaciones pueden ir estableciendo, al menos,  procesos internos para canalizar las comunicaciones de brechas de seguridad o incidentes que afecten a la protección de datos. Estas comunicaciones internas deben realizarse a la persona que asumirá la figura de Delegado de Protección de Datos, en su defecto, a la persona encargada de coordinar el cumplimiento de la normativa de protección de datos.

Registro de tratamiento de datos

  • Normativa actual (LOPD): No se regula en la LOPD.
  • Normativa aplicable en 2018 (RGPD): Según lo previsto en el artículo 30 del RGPD, las organizaciones que habitualmente realicen tratamiento de datos de riesgo para la privacidad de los interesados,  o traten datos sensibles, deberán contar con un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener información relativa, entre otros aspectos, a los tratamientos de datos que se realicen, los datos personales que se traten, los destinatarios de los datos, los plazos previstos para la supresión, la finalidad de dicho tratamiento y las medidas técnicas y de seguridad adoptadas por la empresa para realizar dicho tratamiento.
  • Recomendaciones: Se recomienda a las organizaciones que traten datos de riesgo para la privacidad de los interesados o traten datos sensibles, que pongan en marcha la redacción de este registro de tratamiento de datos. De momento, puede integrarse este registro en el Documento de Seguridad, hasta que la Agencia Española de Protección de Datos facilite instrucciones concretas acerca del formato y gestión de este registro interno.

Aplicación de medidas de seguridad

  • Normativa actual (RLOPD): Actualmente el RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (RLOPD) establece la obligación de aplicar diferentes medidas de seguridad, en función del nivel básico, medio o alto de los datos tratados.  Dichas medidas se concretan y describen en el Documento de Seguridad.
  • Normativa aplicable en 2018 (RGPD): El RGPD ya no distingue entre ficheros de nivel básico, medio o alto, sino que especifica que las medidas de seguridad se aplicarán teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. La nueva legislación habla de “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al riesgo, pero no concreta qué tipo de medidas deben aplicarse, a diferencia de lo que ocurre con el actual RLOPD que describe de manera detallada cada medida de seguridad que debe implementar el responsable del tratamiento.
  • Recomendaciones: De momento, basta con que se mantenga actualizado el Documento de Seguridad, siempre que las medidas técnicas y organizativas sean adecuadas para garantizar la seguridad, integridad y privacidad de la información de carácter personal tratada.

Delegado de protección de datos (DPO)

  • Normativa actual (RLOPD): El RLOPD, recoge en su artículo 95 la figura de Responsable de Seguridad, cuya designación es obligatoria en caso de tratamiento de ficheros de nivel medio/alto. Sus funciones se centran en coordinar la implementación de las medidas de seguridad establecidas en el mencionado RLOPD.
  • Normativa aplicable en 2018 (RGPD): Se introduce la nueva figura del Data Protection Officer o Delegado de Protección de Datos, que asume nuevas y cualificadas competencias en materia de coordinación y control del cumplimiento de la normativa de protección de datos.  Sus funciones se centran en:
    • Informar y asesorar al responsable del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el ReglamentoDebe dejar constancia en papel de las comunicaciones con el responsable del tratamiento y sus respuestas.
    • Supervisar la aplicación de las normas por el encargado del tratamiento en materia de protección de datos personales. Dentro de este apartado se incluyen: asignación de responsabilidades, formación del personal y auditorías correspondientes.
    • Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
    • Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella por solicitud de las mismas o por iniciativa propia.
    • Ejercer de punto de contacto con la autoridad de control sobre cuestiones relacionadas con el tratamiento de datos personales.

Dicha figura será obligatoria cuando:

– El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

– Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de datos a gran escala; o

– Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.

  • Recomendaciones: Para aquellas organizaciones que deban contar con un Delegado de Protección de Datos, sería conveniente que se designara ya esta figura, con el fin de que el DPO inicie el proceso de implementación de las novedades legislativas del RGPD  de manera progresiva, así como para que vaya difundiendo en la organización los nuevos procedimientos internos.

Privacidad desde el diseño y por defecto, códigos de conducta y esquemas de certificación

  • Normativa actual (LOPD): No se regula en la LOPD.
  • Normativa aplicable en 2018 (RGPD): Se avanza un paso más para reforzar el concepto de accountability empresarial, es decir, la responsabilidad proactiva en el  cumplimiento normativo. Para ello, el RGPD establece la privacidad desde el diseño y por defecto, con el fin de que se garantice el cumplimiento con carácter previo al tratamiento de datos y durante dicho tratamiento. Asimismo, el RGPD propone como mecanismos efectivos de verificación del cumplimiento,  la adhesión a códigos de conducta o a mecanismos de certificación (artículo 42.3 del  RGPD).
  • Recomendación: Es aconsejable que las organizaciones que tengan procesos complejos de tratamiento de datos o manejen datos especialmente sensibles, implementen protocolos internos o procesos de certificación que faciliten y garanticen el cumplimiento del RGPD.

El RGPD mantiene el principio recogido en la Directiva 95/46 de que todo tratamiento de datos necesita apoyarse en una base que lo legitime. También recoge las mismas bases jurídicas que contenía la Directiva y que reproduce la LOPD: • Consentimiento. • Relación contractual. • Intereses vitales del interesado o de otras personas. • Obligación legal para el responsable. • Interés público o ejercicio de poderes públicos. • Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos. En ese sentido, el RGPD no implica cambios para los responsables del tratamiento de datos.

El consentimiento debe ser “inequívoco”: El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. A diferencia del Reglamento de Desarrollo de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción.

Se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito: • Tratamiento de datos sensibles. • Adopción de decisiones automatizadas. • Transferencias internacionales.

El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación). Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa.

Recomendaciones:

No seguir obteniendo consentimientos por omisión y revisar esos tratamientos para que, a partir de mayo 2018, se hayan adecuado a las previsiones del RGPD. La adaptación puede llevarse a cabo: • Obteniendo un consentimiento de los interesados acorde con las disposiciones del RGPD. • Valorando si los tratamientos afectados pueden apoyarse en otra base legal, como puede ser, entre otras, el interés legítimo del responsable o del cesionario de los datos que prevalezca sobre los derechos del interesado (los interesados deben ser informados y podrán ejercitar los derechos que, como el de oposición, sean específicamente aplicables a la nueva base legal elegida).

Cambios:

La información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. (La LOPD sólo exige que la información se preste de modo expreso, preciso e inequívoco).

Obligaciones:

Se deberán evitar las fórmulas especialmente farragosas y que incorporan remisiones a los textos legales. Las cláusulas informativas deberán explicar el contenido al que inmediatamente se refieren de forma clara y accesible para los interesados, con independencia de sus conocimientos en la materia. Se establece una lista exhaustiva de la información que debe proporcionarse a los interesados (más amplia que la que actualmente contiene la LOPD) y que añade: • Base jurídica del tratamiento • Intención de realizar transferencias internacionales • Datos del Delegado de Protección de Datos (si lo hubiere) • Elaboración de perfiles.

La información a los interesados deberá facilitarse por escrito, incluidos los medios electrónicos cuando sea apropiado.

Derecho al Olvido:

No está considerado un derecho autónomo o diferenciado de los clásicos derechos ARCO, sino la consecuencia de la aplicación del derecho al borrado de los datos personales. Es una manifestación de los derechos de cancelación u oposición en el entorno online (según la jurisprudencia que el Tribunal de Justicia de la UE estableció en el caso Google Spain).

Notificación de “violaciones de seguridad de los datos”: “quiebras de seguridad”

El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como “quiebras de seguridad”, de una forma muy amplia, que incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros constituyen violaciones de seguridad a la luz del RGPD y deben ser tratadas como el Reglamento establece.

Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.

La notificación ha de incluir un contenido mínimo: • la naturaleza de la violación • categorías de datos y de interesados afectados • medidas adoptadas por el responsable para solventar la quiebra • si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados.

Los responsables deben documentar todas las violaciones de seguridad.  En los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.

El objetivo de la notificación a los afectados es permitir que puedan tomar medidas para protegerse de sus consecuencias. Por ello, el RGPD requiere que se realice sin dilación indebida, sin hacer referencia ni al momento en que se tenga constancia de ella ni tampoco a la posibilidad de efectuar la notificación dentro de un plazo de 72 horas. El propósito es siempre que el interesado afectado pueda reaccionar tan pronto como sea posible. El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden tomar los interesados para hacer frente a las consecuencias de la quiebra.

RGPD se refiere en varios lugares a los tratamientos de los datos de los menores: • En la regulación de los intereses legítimos del responsable como base legal para el tratamiento, señalándose que no será aplicable cuando prevalezcan los derechos, libertades o intereses de los interesados que requieran protección de datos personales, especialmente cuando esos interesados sean niños. • Al señalar que la información que se ofrece a los interesados en relación con el tratamiento o con el ejercicio de derechos deberá ser especialmente concisa, transparente, inteligible y proporcionada con lenguaje claro y sencillo cuando los interesados sean niños. • En el contexto del derecho al borrado de los datos personales. • Al establecer que las actividades de formación y sensibilización dirigidas a los niños deberán estar entre las prioridades de las autoridades de protección de datos. • En el contexto de las explicaciones que ofrecen los Considerandos del RGPD cuando se refieren a la realización de perfiles.

La mención más explícita a los menores (niños, en la terminología del RGPD) está relacionada con la obtención del consentimiento en el ámbito de la oferta directa de servicios de la sociedad de la información. El RGPD prevé que en ese entorno, el consentimiento solo será válido a partir de los 16 años, debiendo contar con la autorización de los padres o tutores legales por debajo de esa edad.

El RGPD permite a los estados miembros establecer una edad inferior, siempre que no sea menor de 13 años. Es de esperar que muchos estados miembros hagan uso de esta posibilidad y adopten regulaciones propias. En el caso de España, el Reglamento de Desarrollo de la LOPD fija la edad a partir de la que el consentimiento de los menores es válido en los 14 años con carácter general. Por ello es razonable suponer que la norma que reemplace a la LOPD contenga también una regulación específica en esta materia.

Conclusión:

Los Derechos que engloba el RGPD, pueden resumirse en:

  • Derecho de acceso: tienes derecho a que te den copia de los datos personales objeto de tratamiento, a conocer los fines del tratamiento, el plazo de conservación de tus datos, a presentar una reclamación ante la Autoridad de Control.
  • Derecho de rectificación: tienes derecho a rectificar los datos inexactos, a que se completen los datos personales incompletos.
  • Derecho de supresión (el «Derecho al olvido»): tienes derecho a suprimir los datos personales sin dilación indebida si hay un tratamiento ilícito o cuando haya desaparecido la finalidad que motivó el tratamiento o recogida.
  • Derecho a la limitación del tratamiento: si impugas la exactitud de los datos, tienes derecho a solicitar la suspensión del tratamiento de datos.
  • Derecho a la portabilidad de los datos: podrás recibir tus datos personales en un formato estructurado, de uso común y lectura mecánica, y poder transmitirlos a otro responsable, siempre que sea técnicamente posible.
  • Derecho de oposición: cuando el tratamiento tenga por objeto la mercadotecnia directa (marketing o publicidad directa), o cuando se acredite un interés legítimo o sea necesario para la defensa o el ejercicio de reclamaciones.
  • Derecho a no ser objeto de decisiones individualizadas: incluida la elaboración de perfiles que produzca efectos jurídicos o te afecte; salvo que sea necesario para la ejecución o celebración de un contrato, cuando esté permitido por el Derecho de la UE o de los Estados miembros, o cuando exista el consentimiento explícito del titular de los datos.