NOTA INFORMATIVA
REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD)
A partir del 25 de mayo 2018, los autónomos y empresas con acceso a datos de carácter personal deberán cumplir las medidas adoptadas en el Reglamento General de Protección de Datos (RGPD).
Con ello, surgen dudas en todas las empresas respecto a cómo se deben tratar los datos personales de clientes, trabajadores y proveedores.
En PRODATASUR contamos con un equipo especializado en el asesoramiento, adecuación e implantación de esta normativa para autónomos y empresas, por lo que queremos informarte de las 10 novedades más relevantes que se deben conocer para cumplir con el nuevo RGPD. Os planteamos un resumen y su posterior desarrollo.
RESUMEN
Las 10 novedades más destacadas de este nuevo Reglamento son:
2. Nuevos derechos de los ciudadanos: derecho al olvido y derecho a la portabilidad de los datos.
3. Ampliación del deber de información.
5. Establecimiento de acciones y medidas de seguridad.
6. Obligación de realizar Evaluaciones de Impacto para determinar el cumplimiento normativo.
7. Nuevas notificaciones a la Autoridad de Control: las violaciones de seguridad de los datos.
8. La creación de la figura del Delegado de Protección de Datos (DPO Data Protection Officer).
10. Incremento de la cuantía de las sanciones.
DESARROLLO DE LAS 10 PRINCIPALES NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS
El art. 5 del GDPR contiene la lista de principios a tener en cuenta en el tratamiento de datos personales.
Algunos de ellos ya estaban previstos en la LOPD, pero se añaden otros nuevos.
- Principio de Transparencia (5.1.a)
“Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado”.
Este principio se centra en facilitar las relaciones entre el responsable de los datos y el interesado, así como entre el responsable de los datos y las autoridades de control.
Su materialización conlleva un importante cambio, ya que desaparece la obligación de notificar y registrar los ficheros que contienen datos personales ante la autoridad de control. En España, esta autoridad es la Agencia Española de Protección de Datos (AEPD).
En el nuevo GDPR se ha definido un “Registro de actividades de tratamiento”.
Este registro se llevará a cabo de forma interna y contendrá, entre otros, los siguientes datos:
nombre y datos de contacto del responsable del tratamiento,
nombre y datos del Delegado de Protección de Datos,
finalidad del tratamiento,
descripción de categorías del interesado,
descripción de categorías de datos tratados,
las transferencias internacionales de datos.
En España, este nuevo registro puede integrarse de momento en el Documento de Seguridad, hasta que la Agencia Española de Protección de Datos facilite instrucciones concretas acerca de su formato y gestión.
- Principio de limitación de la finalidad (5.1.b)
“Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (...)
Estos fines explícitos y legítimos deberán determinarse en el momento de la recogida de los datos.
- Minimización de datos (5.1.c)
"Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.
En la edad de oro del Big Data este principio obliga a aplicar las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento (Artículo 25.2).
2. NUEVOS DERECHOS DE LOS CIUDADANOS
La Ley Orgánica de Protección de Datos establecía 4 derechos para los interesados: Acceso, Rectificación, Cancelación y Oposición (conocidos en España como derechos ARCO).
Pues bien, con el nuevo Reglamento Europeo de Protección de Datos, esta lista se amplía. Además de los derechos ARCO, se contemplan también los siguientes derechos:
Derecho a la transparencia de la información, (art. 12).
Derecho de supresión (derecho al olvido), (art. 17).
Derecho de limitación, (art. 18).
Derecho de portabilidad, (art. 20).
Por sus importantes consecuencias prácticas analizamos con más detalle el derecho al olvido y el derecho a la portabilidad:
El nuevo GDPR establece que cualquier persona tendrá derecho a que su información personal sea eliminada de los proveedores de servicios de Internet cuando lo desee, siempre y cuando quien posea esos datos no tenga razones legítimas para retenerlos.
Además obliga a los responsables de los datos que han difundido la información a terceros a comunicarles la obligación de suprimir cualquier enlace a los datos publicados, así como a eliminar cualquier copia o réplica de dichos datos.
Su objetivo es conseguir eliminar de la red y de los buscadores cualquier rastro que haya de los datos de la persona que quiere ser “olvidada” de manera definitiva.
En el nuevo GDPR se prevé la posibilidad de transmitir los datos de un responsable a otro, de forma que el interesado tendrá derecho a que los datos personales se transmitan directamente cuando sea técnicamente posible.
Un ejemplo habitual es cuando un particular quiere cambiar de operadora de telecomunicaciones o de compañía de electricidad: la portabilidad permite que los datos personales del particular se transfieran directamente a la nueva compañía escogida, de forma ágil y sencilla para el usuario final.
Además de incorporar estos nuevos derechos, el GDPR también exige que se creen procedimientos visibles, accesibles y con un lenguaje sencillo para facilitar al interesado el ejercicio de sus derechos. Además tendrá que ser posible a través de medios electrónicos como indica el Considerando 59.
3. AMPLIACIÓN DEL DEBER DE INFORMACIÓN
Nuestra legislación actual establece que a la hora de recoger el consentimiento de los interesados se les debía informar de la persona responsable del fichero, de la existencia de los ficheros inscritos en el Registro General de Protección de Datos, de la finalidad de la recogida de los datos y de la posibilidad de ejercitar los Derechos ARCO.
Desde mayo de 2108, además de estos datos, el Reglamento exige la obligación de informar sobre nuevos aspectos:
se tiene que explicar la base legal para el tratamiento de los datos,
se debe informar acerca del periodo de conservación,
se debe informar acerca de la posibilidad de hacer reclamaciones,
se debe informar de los demás derechos que incorpora el nuevo RGDP.
Es por tanto conveniente revisar las cláusulas informativas que se hayan incorporado en los procesos de recogida de datos e incluir los nuevos apartados para cumplir así con las exigencias del GDPR.
4. OBTENCIÓN DEL CONSENTIMIENTO PARA EL TRATAMIENTO DE DATOS
La actual LOPD exige el consentimiento inequívoco de los interesados para el tratamiento de sus datos. No obstante, si los datos recabados no son especialmente sensibles (como por ejemplo los datos biométricos), se admite que dicho consentimiento pueda ser tácito.
El GDPR mantendrá los mismos principios del consentimiento que establece la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco.
Sin embargo, como novedad respecto de la LOPD, el nuevo GDPR indica que para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad.
El silencio, las casillas ya marcadas o la inacción no constituirán prueba de consentimiento (Considerando 32 del GDPR).
Por otra parte, otras de las novedades importantes es en relación con el tratamiento de datos de menores.
En España, la LOPD establece, salvo excepciones legales, la posibilidad de recabar datos personales de mayores de 14 años sin necesidad de obtener el consentimiento de sus padres.
Desde mayo de 2018 no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será menos de 13 años.
¿Hay que obtener el consentimiento explícito de clientes ya existentes según el nuevo GDPR?
Uno de los aspectos que está provocando mayor debate es la forma en que se van a regular los consentimientos de clientes o usuarios obtenidos con anterioridad a la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos.
En este sentido, el nuevo GDPR es tajante: si el consentimiento no se encontraba claramente identificado o se basó en formas tácitas o por omisión, deberá volverse a solicitar.
Habrá que tenerlo muy en cuenta, porque el tratamiento de datos sin el consentimiento de los usuarios se entiende como una infracción muy grave según el nuevo reglamento.
5. ESTABLECER ACCIONES Y MEDIDAS DE SEGURIDAD
Actualmente el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (RLOPD) establece la obligación de aplicar diferentes medidas en función del nivel de seguridad - básico, medio o alto - de los datos tratados.
El nuevo GDPR no distingue entre los niveles de los ficheros, sino que especifica que se apliquen medidas de seguridad teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. (Artículo 25 Protección de datos desde el diseño y por defecto).
El nuevo Reglamento europeo de protección de datos habla de “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al riesgo, pero no concreta qué tipo de medidas deben aplicarse.
El GDPR, bajo el principio de responsabilidad proactiva (Artículo 5.2), exige al responsable del tratamiento que aplique las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
El GDPR propone como mecanismos efectivos de verificación del cumplimiento la adhesión a códigos de conducta o a mecanismos de certificación (artículo 42.3 del GDPR).
Por tanto, lo que el GDPR exige es que las empresas tengan una actitud consciente, diligente y proactiva del tratamiento de los datos, pudiendo demostrar, si llegara el caso, las medidas de seguridad aplicadas.
6. EVALUACIÓN DE IMPACTO DEL TRATAMIENTO DE DATOS PERSONALES
Otra nueva obligación que establece el GDPR es la de realizar una evaluación de impacto (Privacy Impact Assessment) para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas. Se debe evaluar el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo (Considerando 84 del GDPR).
Para facilitar esta labor, la Agencia Española de Protección de Datos publicó en 2014 esta Guía para la Evaluación de Impacto en la Protección de los Datos Personales, en la que se establecen las bases y aspectos esenciales que deberán tener en cuenta los obligados a realizar la evaluación de impacto.
7. COMUNICACIÓN DE FALLOS A LA AUTORIDAD DE PROTECCIÓN DE DATOS
Otra de las novedades más importantes se trata de una nueva obligación que el GDPR impone al responsable del tratamiento: notificar las violaciones de seguridad de los datos.
Es decir, el responsable del tratamiento de los datos deberá notificar a la autoridad competente (AEPD en España) cualquier brecha de seguridad que se haya producido en el plazo de 72 horas desde que ocurra.
Además, si la brecha implica un riesgo para los interesados, también se les deberá notificar a ellos.
8. LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS
El GDPR le dedica una sección entera a una nueva figura, dada la relevancia que tiene para el futuro: el Delegado de Protección de Datos (Data Protection Officer).
Esta persona es el asesor de protección de datos de la empresa, y asume competencias en materia de coordinación y control del cumplimiento de la normativa en materia de protección de datos.
Esta figura no es obligatoria para todas las organizaciones: solo tendrán que contar con un delegado las empresas públicas, las que tengan un tratamiento a gran escala o las que recojan datos especialmente sensibles o relativos a condenas o infracciones penales.
Entre las funciones que le serán encomendadas a un delegado de protección de datos se encuentran, entre otras, las siguientes:
Supervisar la implementación y aplicación de las políticas internas,
realizar formación al personal,
organizar y coordinar las auditorías,
gestionar la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos,
velar por la conservación de la documentación,
supervisar la realización de la evaluación de impacto,
actuar como punto de contacto para la autoridad de control.
El Delegado de Protección de Datos deberá ser designado con cualidades profesionales y, en particular, con conocimiento experto de la legislación y prácticas de protección de datos y la capacidad de cumplir con las tareas impuestas por el GDPR.
El Delegado puede elegirse de entre personal existente en la organización del responsable de los Datos o cumplir las tareas a través de un contrato de servicios.
9. LAS AUTORIDADES DE PROTECCIÓN DE DATOS
El GDPR sigue manteniendo la existencia de los diferentes reguladores nacionales y sus funciones, pero ahora estarán coordinados por un organismo dependiente de la Comisión Europea: el Comité Europeo de Protección de Datos.
Para los titulares de los datos se establece un sistema de ventanilla única, lo que significa que en caso de que tengan que realizar una reclamación dentro de cualquiera de los Estados miembros, podrán acudir ante la autoridad de su país.
Por su parte, los responsables y encargados del tratamiento que tenga centros en diversos Estados miembros, podrán centralizar la organización de su Sistema de Gestión de la Privacidad en un único país (estableciendo una autoridad de control principal).
Una de las cuestiones que está generando más debate y controversia es la diferencia exponencial de la cuantía de las sanciones que establece el nuevo GDPR.
Si hasta mayo de 2018 las sanciones pueden ir desde 900 euros hasta 600.000, a partir de entonces no se establecen cuantías mínimas y las máximas pueden alcanzar los 20 millones de euros o hasta el 4% del volumen de negocio del infractor.