Icono del sitio Trilogia Servicios Legales

Adaptación al nuevo Reglamento General de Protección de Datos

Reglamento General de protección de datos

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018. Este periodo de dos años ha tenido como objetivo permitir que los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.

El RGPD, que se aplicará a partir del 25 de mayo de 2018, establece nuevos derechos para los ciudadanos que se suman a los tradicionales ARCO: (Acceso, Rectificación, Cancelación y Oposición) recogidos en la actual normativa española se añaden nuevos elementos que mejoran la capacidad de decisión y control de los ciudadanos sobre sus propios datos personales.

Ejercer estos derechos será gratuito para el ciudadano (al igual que sucede ahora con los derechos ARCO) excepto cuando se formulen solicitudes manifiestamente infundadas o excesivas y, en cualquier caso, si hubiera un coste, este no podrá implicar un ingreso adicional para quien trata los datos y debe limitarse al verdadero coste de tramitar la solicitud.

Obtención del consentimiento para el tratamiento de datos

Se establecen asimismo condiciones específicas para obtener el consentimiento de los menores: no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será menos de 13 años.

Deber de información

Derechos de los interesados

Otra novedad, respecto de la LOPD, es que se establece la obligación para el responsable del tratamiento de proporcionar medios para que las solicitudes de ejercicio de derechos se presenten por medios electrónicos, en particular cuando los datos personales se hayan recabado a través de estos medios (Considerando 59).

Evaluación de impacto del tratamiento de datos personales

Comunicación de fallos a la autoridad de protección de datos

Registro de tratamiento de datos

Aplicación de medidas de seguridad

Delegado de protección de datos (DPO)

Dicha figura será obligatoria cuando:

– El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

– Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de datos a gran escala; o

– Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.

Privacidad desde el diseño y por defecto, códigos de conducta y esquemas de certificación

El RGPD mantiene el principio recogido en la Directiva 95/46 de que todo tratamiento de datos necesita apoyarse en una base que lo legitime. También recoge las mismas bases jurídicas que contenía la Directiva y que reproduce la LOPD: • Consentimiento. • Relación contractual. • Intereses vitales del interesado o de otras personas. • Obligación legal para el responsable. • Interés público o ejercicio de poderes públicos. • Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos. En ese sentido, el RGPD no implica cambios para los responsables del tratamiento de datos.

El consentimiento debe ser “inequívoco”: El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. A diferencia del Reglamento de Desarrollo de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción.

Se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito: • Tratamiento de datos sensibles. • Adopción de decisiones automatizadas. • Transferencias internacionales.

El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación). Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa.

Recomendaciones:

No seguir obteniendo consentimientos por omisión y revisar esos tratamientos para que, a partir de mayo 2018, se hayan adecuado a las previsiones del RGPD. La adaptación puede llevarse a cabo: • Obteniendo un consentimiento de los interesados acorde con las disposiciones del RGPD. • Valorando si los tratamientos afectados pueden apoyarse en otra base legal, como puede ser, entre otras, el interés legítimo del responsable o del cesionario de los datos que prevalezca sobre los derechos del interesado (los interesados deben ser informados y podrán ejercitar los derechos que, como el de oposición, sean específicamente aplicables a la nueva base legal elegida).

Cambios:

La información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. (La LOPD sólo exige que la información se preste de modo expreso, preciso e inequívoco).

Obligaciones:

Se deberán evitar las fórmulas especialmente farragosas y que incorporan remisiones a los textos legales. Las cláusulas informativas deberán explicar el contenido al que inmediatamente se refieren de forma clara y accesible para los interesados, con independencia de sus conocimientos en la materia. Se establece una lista exhaustiva de la información que debe proporcionarse a los interesados (más amplia que la que actualmente contiene la LOPD) y que añade: • Base jurídica del tratamiento • Intención de realizar transferencias internacionales • Datos del Delegado de Protección de Datos (si lo hubiere) • Elaboración de perfiles.

La información a los interesados deberá facilitarse por escrito, incluidos los medios electrónicos cuando sea apropiado.

Derecho al Olvido:

No está considerado un derecho autónomo o diferenciado de los clásicos derechos ARCO, sino la consecuencia de la aplicación del derecho al borrado de los datos personales. Es una manifestación de los derechos de cancelación u oposición en el entorno online (según la jurisprudencia que el Tribunal de Justicia de la UE estableció en el caso Google Spain).

Notificación de “violaciones de seguridad de los datos”: “quiebras de seguridad”

El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como “quiebras de seguridad”, de una forma muy amplia, que incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros constituyen violaciones de seguridad a la luz del RGPD y deben ser tratadas como el Reglamento establece.

Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.

La notificación ha de incluir un contenido mínimo: • la naturaleza de la violación • categorías de datos y de interesados afectados • medidas adoptadas por el responsable para solventar la quiebra • si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados.

Los responsables deben documentar todas las violaciones de seguridad.  En los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.

El objetivo de la notificación a los afectados es permitir que puedan tomar medidas para protegerse de sus consecuencias. Por ello, el RGPD requiere que se realice sin dilación indebida, sin hacer referencia ni al momento en que se tenga constancia de ella ni tampoco a la posibilidad de efectuar la notificación dentro de un plazo de 72 horas. El propósito es siempre que el interesado afectado pueda reaccionar tan pronto como sea posible. El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden tomar los interesados para hacer frente a las consecuencias de la quiebra.

RGPD se refiere en varios lugares a los tratamientos de los datos de los menores: • En la regulación de los intereses legítimos del responsable como base legal para el tratamiento, señalándose que no será aplicable cuando prevalezcan los derechos, libertades o intereses de los interesados que requieran protección de datos personales, especialmente cuando esos interesados sean niños. • Al señalar que la información que se ofrece a los interesados en relación con el tratamiento o con el ejercicio de derechos deberá ser especialmente concisa, transparente, inteligible y proporcionada con lenguaje claro y sencillo cuando los interesados sean niños. • En el contexto del derecho al borrado de los datos personales. • Al establecer que las actividades de formación y sensibilización dirigidas a los niños deberán estar entre las prioridades de las autoridades de protección de datos. • En el contexto de las explicaciones que ofrecen los Considerandos del RGPD cuando se refieren a la realización de perfiles.

La mención más explícita a los menores (niños, en la terminología del RGPD) está relacionada con la obtención del consentimiento en el ámbito de la oferta directa de servicios de la sociedad de la información. El RGPD prevé que en ese entorno, el consentimiento solo será válido a partir de los 16 años, debiendo contar con la autorización de los padres o tutores legales por debajo de esa edad.

El RGPD permite a los estados miembros establecer una edad inferior, siempre que no sea menor de 13 años. Es de esperar que muchos estados miembros hagan uso de esta posibilidad y adopten regulaciones propias. En el caso de España, el Reglamento de Desarrollo de la LOPD fija la edad a partir de la que el consentimiento de los menores es válido en los 14 años con carácter general. Por ello es razonable suponer que la norma que reemplace a la LOPD contenga también una regulación específica en esta materia.

Conclusión:

Los Derechos que engloba el RGPD, pueden resumirse en:

Salir de la versión móvil