EL REGLAMENTO GENERAL DE PROTECCION DE DATOS
El nuevo Reglamento General de Protección de Datos (RGPD) fue aprobado por la Unión Europea con el objetivo de constituir un nuevo marco jurídico sobre protección de datos personales. El Reglamento entró en vigor en mayo de 2016 y será directamente aplicable a partir del 25 de mayo de 2018.
Los principales objetivos del Reglamento son evaluar el impacto de las nuevas tecnologías, aumentar la transparencia para los interesados y reforzar el control de las personas sobre sus propios datos.
Este Reglamento obliga a las empresas a realizar un análisis previo para determinar:
- Identificar y analizar el flujo de datos, procedimientos, modelos y formularios que se utilizan en la captación, consentimiento, tratamiento y registro de datos.
- Determinar el uso previsto de los datos para identificar el tipo de tratamiento al que deberán someterse.
- Según el tratamiento que se lleve a cabo, se deberán implementar las medidas de seguridad correspondientes.
De esta manera, se garantiza la protección de los datos de trabajadores, clientes, proveedores y/o cualquier otro dato de carácter personal.
Mediante el análisis previo, se puede identificar si se debe realizar una Evaluación de Impacto en la Protección de Datos Personales (EIDP), con el objetivo de que las empresas puedan demostrar el debido cumplimiento del RGPF.
Ámbito de aplicación. El Reglamento amplia el ámbito de aplicación territorial a los responsables y encargados de tratamiento no establecidos en la Unión Europea, cuando las actividades del tratamiento estén relacionadas con la oferta de bienes o servicios o con el control del comportamiento de las personal si tienen lugar en la Unión Europea.
Principios. La mayor innovación del RGPD para los responsables se proyecta en el principio de responsabilidad proactiva que se traduce en que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. Este principio requiere que las organizaciones analicen que datos tratan, con que finalidad lo hacen y que tipo de operaciones de tratamiento llevan a cabo.
Y, por otro lado, en el enfoque del riesgo, el Reglamento establece que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas.
Como novedad, los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado (licitud, lealtad y transparencia).
1.- Glosario:
* Responsable de datos (organización): persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de los datos personales.
* Interesado (persona): persona física identificable con toda persona “cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización o un identificador en línea”.
* Datos personales: toda información sobre una persona física identificada o identificable (“el interesado”). El Reglamento indica que esto también incluye los identificadores en línea tales como las direcciones IP y las cookies.
* Encargado del tratamiento (prestadores del servicio): persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. Un ejemplo es un proveedor en la nube que ofrece almacenamiento de datos.
Consentimiento. El nuevo Reglamento requiere que el interesado preste el consentimiento mediante una declaración inequívoca o una acción afirmativa clara. Las casillas ya marcadas, el consentimiento tácito o la inacción no constituyen un consentimiento válido.
Además, se contemplan situaciones en las que el consentimiento deberá ser inequívoco y explícito:
- Tratamiento de datos sensibles.
- Adopción de decisiones automatizadas.
- Transferencias internacionales.
Otra novedad es el hecho de que la información a los interesados deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
Delegado de Protección de Datos.
El nuevo reglamento introduce la figura del delegado de protección de datos, dicha figura será obligatoria en los siguientes casos:
- Cuando el tratamiento lo lleve a cabo una autoridad o un organismo público.
- Cuando el tratamiento requiera una observación habitual y sistemática de interesados a gran escala.
- Cuando el tratamiento tenga por objeto categorías especiales de datos personales o datos relativos a condenas o infracciones penales.
Las funciones básicas del delegado de protección de datos son:
1.- Informar y asesorar al responsable, encargado y a los trabajadores sobre las obligaciones impuestas por la ley de protección de datos.
2.- Supervisar que se cumpla la normativa.
3.- Cooperar con la autoridad de control.
Dicho delegado debe ser nombrado atendiendo a sus cualificaciones profesionales y a su conocimiento de la legislación y la práctica de la protección de datos.
Debe hacerse pública la designación del delegado de protección de datos y sus datos de contacto, además deberán comunicar a las autoridades de supervisión competentes dicho nombramiento.
Novedades que se introducen con el RGPD para las empresas:
1.- Las sanciones por incumplimiento pueden llegar a los 20 millones de euros o el equivalente al 4% de la facturación global.
2.- Implementación de una nueva figura en la organización: el Data Protection Officer (DPO), que debe contar con conocimientos en materia de protección de datos.
3.- Toda compañía deberá diseñar y adoptar las medidas de seguridad oportunas.
4.- Las brechas de seguridad que surjan deberán ser comunicadas en un máximo de 72 horas.
5.- Se deberá lleva a cabo un registro interno en las actividades y la gestión de datos.
6.- Será necesario contar con el consentimiento expreso para la obtención y tratamiento de datos.
7.- Aparece el derecho a la modificación y olvido de los datos por parte de las personas físicas.
8.- Para determinados tratamiento de datos, será obligatorio realizar un Privacy Assessment.
9.- Se requerirá privacidad y responsabilidad proactiva durante todo el proceso.
10.- Se deberá contar con garantías demostrables del adecuado tratamiento de los datos según el RGPD.
2.- Normas de cumplimiento:
El RGPD fomenta la adopción de programas de certificación como medio de demostrar el cumplimiento. El cumplimiento de la norma internacional de seguridad de información ISO 27001, la única norma de seguridad de los datos reconocida internacionalmente, ayudará a las organizaciones a demostrar que se han esforzado en cumplir los requisitos de la seguridad de los datos del RGPD. Implementar ISO 27001 implica establecer un marco holístico de procesos, personas y tecnologías con el fin de asegurar la información.
3.- Registros de tratamiento de datos:
El Reglamento ahora coloca la responsabilidad en las organizaciones y los responsables del tratamiento de mantener sus propios registros de actividades de tratamiento de los datos y poner estos a disposición de la autoridad de control. Este registro tiene que contener un conjunto específico de información para que sea claro el dato que se está tratando, dónde se está tratando, cómo se está tratando y por qué se está tratando. Las empresas pequeñas que empleen menos de 250 empleados están exentas de estos requisitos de conservación de registros a menos que sus actividades de tratamiento impliquen un riesgo para los derechos y libertades de los interesados, no sean ocasionales o incluyan categorías especiales de datos personales o datos relativos a condenas o delitos penales.
4.- Transferencias de datos fuera de la UE:
El Reglamento prohíbe la transferencia de datos personales fuera de la UE a un país tercero que no tenga una protección de datos adecuada. La Comisión Europea tiene el poder de aprobar países concretos que proporcionan un nivel adecuado de protección de datos, teniendo en consideración las leyes de protección de datos en vigor en eses país y sus compromisos internacionales. En la actualidad esta lista es Andorra, Argentina, Canadá, Islas Feroe, Guernesey, Israel, Isla de Man, Jersey, Nueva Zelanda, Suiza y Uruguay.
Para las transferencias de datos a cualquier país que no esté en la lista, debe haber un contrato legal que estipule que el destinatario que no es de la UE acepta las garantías de protección de los datos exigidas. El Reglamento reconoce explícitamente y fomenta el uso de normas corporativas vinculantes como mecanismo de transferencia de datos válido en los grupos de empresas. Los códigos de conducta aprobados también pueden utilizarse para las transferencias de datos.