El 25 de mayo de 2016 entró en vigor el nuevo reglamento europeo de protección de datos de carácter personal (RGPD), el cual comenzará a aplicarse dos años después, el 25 de mayo de 2018. En el presente artículo vamos a citar las novedades más importantes que trae el RGPD, así como las recomendaciones de la Agencia Española de Protección de Datos (AEPD) para que empresas, organismos y demás sujetos obligados, inicien un proceso de adecuación progresivo al mismo.
CONSENTIMIENTO
Según el Considerando 32 del RGPD, se requiere que las personas cuyos datos se tratan presten su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que actualmente permite la normativa española.
Se establecen asimismo condiciones específicas para obtener el consentimiento de los menores: no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será menos de 13 años.
La AEPD aconseja que las organizaciones que en estos momentos utilizan el llamado consentimiento tácito como base para los tratamientos comiencen tanto a revisar los consentimientos ya obtenidos para adecuarlos al RGPD como a utilizar mecanismos acordes con la nueva legislación. A partir de mayo de 2018, sólo tendrán legitimación suficiente los tratamientos acordes a la nueva regulación.
INFORMACIÓN
En materia de derecho a la información que tienen los interesados el RGPD incluye aspectos adicionales que actualmente no vienen requeridos. Entre ellos cabe destacar que habrá que explicar la base legal para el tratamiento de los datos, el período de conservación de los mismos y que los interesados podrán dirigir sus reclamaciones a las autoridades de protección de datos, si consideran que hay un problema con la forma en qué están tratando sus datos.
Es aconsejable que las empresas y organismos adapten sus políticas informativas a lo dispuesto por el RGPD.
DERECHOS DE LOS INTERESADOS
Además de los anteriores derechos de acceso, rectificación, cancelación y oposición (derechos ARCO), se reconocen los de transparencia de la información, supresión (derecho al olvido), limitación y portabilidad.
Asimismo y en base al Considerando 59 del RGPD deben establecerse fórmulas para facilitar al interesado el ejercicio de sus derechos, incluidos los mecanismos para solicitar el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición. Se establece la obligación para el responsable del tratamiento de proporcionar medios para que las solicitudes de ejercicio de derechos se presenten por medios electrónicos, en particular cuando los datos personales se hayan recabado a través de estos medios.
Se recomienda que empresas y organismos adapten sus políticas informativas incluyendo estos nuevos derechos que ostentan los interesados.
EVALUACIONES DE IMPACTO SOBRE LA PROTECCIÓN DE DATOS
En aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse en cuenta.
En 2014, la AEPD publicó la Guía para una Evaluación de Impacto en la protección de Datos Personales. Se trata de un documento de referencia del que las organizaciones pueden disponer para ir estableciendo las bases y aspectos esenciales que deberán tener en cuenta en el proceso de la evaluación de impacto que deberán realizar.
COMUNICACIÓN DE FALLOS A LA AUTORIDAD DE PROTECCIÓN DE DATOS
En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente en un plazo de 72 horas. Asimismo el encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
Por el momento es recomendable ir estableciendo ir estableciendo procesos internos para canalizar las comunicaciones de brechas de seguridad o incidentes que afecten a la protección de datos.
REGISTRO DEL TRATAMIENTO DE DATOS
Las organizaciones que realicen tratamientos que puedan entrañar un riesgo para los derechos y libertades de los interesados, deberán llevar un registro de actividades de tratamiento, el cual contendrá entre otros aspectos, destinatarios, fines del tratamiento, etc.
Se recomienda a organización que traten datos de riesgo para los interesados que pongan en marcha el sistema de registro de actividades.
MEDIDAS DE SEGURIDAD
En este sentido, el RGPD ya no estable medidas de nivel básico, medio y alto, sino que simplemente establece que las medidas de seguridad serán las que: “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”.
De momento es suficiente en que se mantenga el Documento de Seguridad debidamente actualizado y con las medidas adecuadas para garantizar la privacidad, integridad y seguridad de los datos personales.
DELEGADO DE PROTECCIÓN DE DATOS (DPO)
Se introduce la nueva figura del Delegado de Protección de Datos, que asume nuevas y cualificadas competencias en materia de coordinación y control del cumplimiento de la normativa de protección de datos. Su función básica se centran en: informar y asesorar al responsable del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el RGPD.
Está nueva figura será obligatoria cuando:
- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de datos a gran escala; o
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.
Para aquellas organizaciones que deban contar con un Delegado de Protección de Datos, sería conveniente que se designara ya esta figura, con el fin de que el DPO inicie el proceso de implementación de las novedades legislativas del RGPD de manera progresiva, así como para que vaya difundiendo en la organización los nuevos procedimientos internos.