El viernes 25 entra en vigor el nuevo reglamento europeo sobre protección de datos

24 de mayo de 2018

A partir de este viernes los ciudadanos de la UE tendrán un mayor y exhaustivo control sobre sus datos personales con motivo de la entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD). Un control que afectará tanto a las empresas como a organizaciones, públicas y privadas, será de aplicación en cualquier parte del mundo, bajo fuertes sanciones en caso de incumplimiento que pueden llegar a los 20 millones de euros.

Este nuevo reglamento, aprobado ya hace dos años, sustituirá a la actual ley vigente en España con fecha de 1999 y se aplicará de forma directa en los 28 estados miembros de la UE, además de proteger a los ciudadanos comunitarios en todo el mundo. Un nuevo reglamento que supone, en si, una verdadera revolución y cambio de cultura sobre la protección de datos que otorga al usuario un mayor control sobre el uso de sus datos personales y protección de los derechos de los ciudadanos.

Principales cambios / novedades 

Principio de Transparencia  

Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado. Es decir, de una manera concisa, inteligible y de facil acceso.

El principal cambio en este sentido es la desaparición de la obligación de notificar y registrar los ficheros que contienen datos personales ante la autoridad de control.

Derecho al olvido y a la portabilidad de los datos

La lista de derechos establecida por la LOPD según los cuales los ciudadanos tenían la posibilidad de acceso a sus datos, rectificación, cancelación y oposición (ARCO) se amplia ahora los siguientes derechos

  • Derecho de supresión, el también llamado derecho al olvido
  • Derecho de portabilidad
  • Derecho a la transparencia de la información
  • Derecho de limitación

A través del denominado Derecho al olvido según la nueva norma cualquier persona tendrá derecho a que su información personal sea eliminada de los proveedores de servicios de Internet cuando lo desee, siempre y cuando quien posea esos datos no tenga razones legítimas para retenerlos.

Además obliga a los responsables de los datos que han difundido la información a terceros a comunicarles la obligación de suprimir cualquier enlace a los datos publicados, así como a eliminar cualquier copia o réplica de dichos datos.

Dado que las leyes respecto a la protección de datos en muchos casos eran anteriores a la aparición de redes sociales como Facebook, whatsapp, etc. su principal objetivo es conseguir eliminar de la red y de los buscadores cualquier rastro que haya de los datos de la persona que quiere ser “olvidada” de manera definitiva.

Por otra parte, el derecho a la portabilidad permitirá que quien lo desee tenga el derecho de que los datos personales se transmitan directamente de forma ágil y sencilla de una empresa/organismo a otro cuando sea técnicamente posible. Un caso muy común en los cambios de operadora de una compañía de teléfonos a otra, por ejemplo.

Ampliación del deber de información

Hasta la fecha, a la hora de recoger datos personales se debía informar al interesado sobre la persona responsable del fichero, de la existencia de los ficheros inscritos en el Registro General de Protección de Datos, de la finalidad de la recogida de los datos y de la posibilidad de ejercitar los derechos ARCO. Con la entrada en vigor del nuevo reglamento la información se deberá ampliar sobre otros conceptos como

  • Periodo de conservación de los datos
  • Explicar la base legal para el tratamiento de los datos
  • Informar de los todos los derechos que incorpora el nuevo RGDP
  • Posibilidad de hacer reclamaciones

Obtención del consentimiento para el tratamiento de datos

A partir de ahora para obtener el consentimiento de utilización de los datos se tendrá que obtener una declaración del interesado o una acción positiva que manifieste su conformidad. No servirá, como en algunos casos hasta ahora, el consentimiento tácito. (Una consecuencia directa será que dejarán de existir las casillas premarcadas para la tramitación de publicadad, un hecho muy común en las páginas de internet a la hora de contratar un servicio). El consentimiento será libre, informado, específico e inequívoco (que exista una declaració o una acció directa y positiva que manifieste su conformidad)

 

En relación con la captación de datos de menores el nuevo GDPR establece que no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional específica establezca una edad inferior que, en ningún caso, será menos de 13 años. (Uno de los aspectos, junto con el importe de las multas, que ha generado una mayor controversia)

Sanciones más altas

El importe de las sanciones se eleva hasta los 20 millones de €. Si hasta mayo de 2018 las sanciones iban de los 900 euros hasta 600.000 €, a partir de ahora no se fijan cuantías mínimas y las máximas pueden alcanzar los 20 millones de euros o hasta el 4% del volumen de negocio del infractor.

Autoridades de protección de datos – ventanilla unica

En este sentido para los titulares de los datos se aplica el concepto de “Ventanilla Única” para que los ciudadanos interesados puedan efectuar trámites, aunque estos afecten a autoridades en la materia de otros estados miembros.

Por su parte, los responsables del tratamiento que tenga centros en diversos Estados miembros, podrán centralizar la organización de su Sistema de Gestión de la Privacidad en un único país (estableciendo una autoridad de control principal).

Comunicación de fallos a la autoridad de protección de datos

Si se comete una violación sobre la seguridad de los datos el responsable del tratamiento deberá notificar a la autoridad competente, en el caso de España la Agencia Española de Protección de Datos, las violaciones de seguridad de los datos que se hayan podido producir –para ello dispondrá de un plazo de 72 horas- Si el riesgo en la seguridad es muy grande también lo deberá notificar a los interesados.

Establecer acciones y medidas de seguridad

Hasta ahora, según la LOPD se establecían diferentes niveles de seguridad en función tres baremos: básico, medio o alto. A partir de ahora no se distingue entre los niveles de los ficheros, sino que especifica que se apliquen medidas de seguridad teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. Es decir, que se apliquen las medidas técnicas y organizativas oportunas para garantizar un nivel de seguridad adecuado al riesgo, aunque no se concretan qué tipo de medidas deben aplicarse.

Privacy Impact Assessment, Evaluación de impacto del tratamiento de Datos personales

Hay que realizar una evaluación de impacto (Privacy Impact Assessment) para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas. Se debe evaluar el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

Creación de la Figura del Delegado de Protección de Datos (DPO, Data Protección Officer)

El DPO , que adquiere una gran significación con la implantación de este nuevo reglamento, será el asesor de protección de datos de la empresa, asumiendo por ello las competencias en materia de coordinación y control del cumplimiento de la normativa en materia de protección de datos.

Esta figura no es obligatoria en todas las empresas, tan solo lo es en el caso de las empresas públicas, las que tengan un tratamiento a gran escala o las que recojan datos especialmente sensibles o relativos a condenas o infracciones penales.

Entre las diferentes funciones a realizar por este responsable destacan.

  • Organizar y coordinar las auditorías
  • Supervisar la implementación y aplicación de las políticas internas
  • Formar al personal
  • Gestionar la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos
  • Velar por la conservación de la documentación
  • Supervisar la realización de la evaluación de impacto
  • Enlace con la autoridad de control

Guia del Reglamento General de protección de datos

 

 

, , , , , , , , , , ,