Lawditic | EL CUÁNDO, PORQUÉ, DÓNDE Y CÓMO ADAPTARNOS AL NUEVO REGLAMENTO GENERAL DE PROTECCION DE DATOS
58588
post-template-default,single,single-post,postid-58588,single-format-standard,qode-core-1.0,ajax_fade,page_not_loaded,,pitch-ver-1.2, vertical_menu_with_scroll,smooth_scroll,grid_1300,blog_installed,wpb-js-composer js-comp-ver-5.4.5,vc_responsive

EL CUÁNDO, PORQUÉ, DÓNDE Y CÓMO ADAPTARNOS AL NUEVO REGLAMENTO GENERAL DE PROTECCION DE DATOS

twitterlinkedinrsstwitterlinkedinrss

La autoridad de control española en protección de datos, La Agencia Española de Protección de Datos (AEPD), recomienda a las organizaciones, entidades y profesionales que vayan adaptándose al nuevo Reglamento General de Protección de Datos (Reglamento o RGPD) que entró  en vigor el 25 de mayo de 2016, si bien no comenzará a aplicarse hasta dos años después, en mayo de 2018.

Es importante que todas las entidades vayan adaptando sus procesos, ya que la nueva normativa trae importantes cambios en el tratamiento de datos personales (de clientes, proveedores, usuarios, colegiados, colaboradores, etc.) y que supone una gestión distinta de la que se viene empleando en la empresa hasta ahora.

A continuación se analizan algunas de las implicaciones prácticas que conviene que las entidades conozcan para afrontar el momento en el que el Reglamento sea aplicable. Al final del artículo facilitamos a modo de resumen las acciones que deben llevarse a cabo mientras tanto. La AEPD está comprometida con conseguir que la aplicación del RGPD se produzca con pleno respeto a sus disposiciones y, al mismo tiempo, con ofrecer la mayor flexibilidad posible. Por ello va facilitando materiales y guías a medida que se va pasando el plazo, y a la espera de la modificaciones de la LOPD, aunque el Reglamento sea directamente aplicable. (información de la AEPD)

RESPONSABILIDAD ACTIVA: YA NO VALE “NO INCUMPLIR”

Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones y entidades que tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a las personas titulares de sus datos (interesados) que pueden ser muy difíciles de compensar o reparar. Para ello, el Reglamento prevé una batería completa de medidas, las cuales si no se cumplen, pues se aplicará la sanción que corresponda:

– Protección de datos desde el diseño (art. 25).

– Protección de datos por defecto (art. 25).

– Medidas de seguridad (art. 32).

– Mantenimiento de un registro de tratamientos (art. 30).

– Realización de evaluaciones de impacto sobre la protección de datos (art. 35).

– Nombramiento de un Delegado de Protección de Datos (art. 37 y ss).

Notificación de violaciones de seguridad de los datos (art. 33 y 34).

– Promoción de códigos de conducta y esquemas de certificación (art. 40 y ss).

– AMPLIACIÓN DEL ÁMBITO TERRITORIAL DE APLICACIÓN

El Reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de: i) una oferta de bienes o servicios destinados a ciudadanos de la Unión o ii) como consecuencia de una monitorización y seguimiento de su comportamiento.

Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.

– REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTOS

Constituye una obligación para el Responsable (RT) y para el encargado del tratamiento (ET), señalada en el artículo 30 del Reglamento. Aquí se detalla pormenorizadamente cuál es el contenido de  estos registros, tanto para RT como para ET, el cual es bastante similar a la información que actualmente debe notificarse en altas de ficheros ante el Registro de la AEPD.

Los registros deberán constar por escrito, inclusive en formato electrónico y estarán a disposición de la autoridad de control que lo solicite.

Esta obligación no se aplicará a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del Reglamento.

– CONSENTIMIENTO

Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento señala que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es inequívoco, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.

Las organizaciones y entidades deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.

La AEPD aconseja que las organizaciones que en estos momentos utilizan el llamado consentimiento tácito como base para los tratamientos comiencen tanto a revisar los consentimientos ya obtenidos para adecuarlos al Reglamento como a utilizar mecanismos acordes con la nueva legislación. A partir de mayo de 2018, sólo tendrán legitimación suficiente los tratamientos basados en el consentimiento inequívoco, con independencia de cuándo se haya obtenido ese consentimiento.

Además, el Reglamento prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría o inspección.

– DEBERES DE INFORMACIÓN: AVISOS DE PRIVACIDAD

Con carácter general las entidades deben revisar sus cláusulas informativas, entre ellas, sus políticas de privacidad.  En materia de información el RGPD incluye cuestiones adicionales que actualmente no son requeridas por la normativa española. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados pueden dirigir sus reclamaciones a las Autoridades de protección de Datos, identificación del DPO, etc.

Este periodo transitorio debería ser utilizado por las organizaciones y entidades para realizar una adaptación progresiva por varias vías. Por una parte, muchas organizaciones pueden proporcionar esa información adicional sin costes o esfuerzos excesivos utilizando para ello sus páginas web o aprovechando los canales de comunicación regulares que puedan mantener con sus clientes. Estas buenas prácticas contribuirían a reducir el número de casos en que las cláusulas informativas presenten carencias cuando el Reglamento sea de aplicación.

Al mismo tiempo, es aconsejable que las organizaciones adapten sus políticas informativas a lo dispuesto por el Reglamento. Hay algunas cuestiones donde esa información dependerá de la adopción de otras decisiones, como puede ser el proporcionar los datos del Delegado de Protección de Datos

El Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.

– SISTEMA DE VENTANILLA ÚNICA

Este sistema está pensado para que los responsables establecidos en varios Estados miembros o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE, para que tengan una única Autoridad de protección de datos como interlocutora. También implica que cada Autoridad de protección de datos europea, en  lugar de analizar una denuncia o autorizar un tratamiento a nivel estrictamente nacional, a partir de la aplicación del Reglamento valorará si el supuesto tiene carácter transfronterizo, en cuyo caso habrá que abrir un procedimiento de cooperación entre todas las Autoridades afectadas buscando una solución aceptable para todas ellas. Si hay discrepancias insalvables, el caso puede elevarse al Comité Europeo de Protección de Datos, un organismo de la UE integrado por los directores de todas las Autoridades de protección de datos (lo que hasta ahora es el Grupo de Trabajo del artículo 29). Ese Comité resolverá la controversia mediante decisiones vinculantes para las Autoridades implicadas.

Este nuevo sistema no supone que los ciudadanos tengan que relacionarse con varias Autoridades o con Autoridades distintas de la del Estado donde residan. Siempre pueden plantear sus reclamaciones o denuncias ante su propia Autoridad nacional (en el caso español, la Agencia Española de Protección de Datos). La gestión será realizada por esa Autoridad, que será también responsable de informar al interesado del resultado final de su reclamación o denuncia.

La ventanilla única, en todo caso, no afectará a empresas que sólo estén en un Estado miembro y que realicen tratamientos que afecten sólo a interesados en ese Estado.

– NUEVAS HERRAMIENTAS DE CONTROL PARA LAS PERSONAS SOBRE SUS DATOS PERSONALES.

El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

Derecho al olvido

El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los enlaces que conduzcan a informaciones que le afecten y que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

Derecho a la portabilidad

Como otro mecanismo de control dispuesto para los interesados, este nuevo derecho implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.

– EVALUACIONES DE IMPACTO SOBRE LA PROTECCIÓN DE DATOS

La realización de Evaluaciones de Impacto sobre la protección de datos (EIPD) -aplicables de forma obligatoria en ciertos tratamientos- tiene carácter previo a la puesta en marcha del tratamiento de los mismos y tiene como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos. Por ello, posiblemente no sería acorde con el espíritu del Reglamento exigir que todo tratamiento que pueda potencialmente suponer un alto riesgo para los derechos de los interesados deba ser objeto de una Evaluación de Impacto pese a haber comenzado antes de que resulte aplicable.

Sin embargo, en la medida en que esos tratamientos incorporen, a partir de mayo de 2018, nuevos datos, debe entenderse que, pese a que el tratamiento siga siendo el mismo, se estaría aplicando a nuevos interesados cuyos derechos y libertades podrían estar en riesgo a partir de la fecha en que sus datos comienzan a ser tratados. Por ello, en esos casos sí sería necesario que se llevara a cabo una EIPD en los supuestos a los que se refiere el RGPD.

En los demás casos en que las evaluaciones puedan ser obligatorias, la AEPD considera que no debería esperarse a la fecha de aplicación del Reglamento para comenzar a utilizar esta herramienta, ya que requiere de preparación, elección de la metodología adecuada, identificación de los equipos de trabajo y otra serie de condiciones que no pueden improvisarse.

Comenzar a incorporar este sistema a la actuación de las organizaciones no sólo va a permitirles estar en mejores condiciones en el momento en que resulte obligatorio para algunas de ellas, sino que también les permitirá asegurar el cumplimiento no ya del futuro Reglamento, sino incluso de la actual normativa.

– DELEGADOS DE PROTECCIÓN DE DATOS. CERTIFICACIÓN.

El Reglamento requiere que los Delegados de Protección de Datos (DPD) sean nombrados en función de sus cualificaciones profesionales, en especial su conocimiento en materia de protección de datos, y su capacidad para el desempeño de sus funciones. Sin embargo, no establece específicamente cuáles han de ser esas cualificaciones profesionales ni tampoco el modo en que podrán demostrarse ante las organizaciones que deban incorporar esta figura. De hecho, el Reglamento indica en uno de sus considerandos que la valoración de estas aptitudes y conocimientos deberá realizarse no tanto en función de criterios externos como de las necesidades de los tratamientos concretos que cada organización lleve a cabo.

La AEPD considera que no es oportuno establecer un sistema de certificación de Delegados de Protección de Datos que opere como requisito para el acceso a la profesión.

En este momento, ya existe una oferta de certificaciones y titulaciones que respaldan conocimientos, experiencia o práctica en el ámbito de la protección de datos. Esas titulaciones están llamadas a jugar un papel relevante en el desarrollo de las profesiones relacionadas con la protección de datos en la medida en que pueden servir como un elemento más, aunque no sea necesariamente único, para que la organización que tiene que designar un DPD pueda tener constancia de la formación o cualificaciones de los posibles candidatos.

Para que la oferta de certificaciones y titulaciones funcione de manera rigurosa es necesario que estas reúnan unos requisitos que permitan que las entidades que los reciban puedan tener un razonable grado de certeza sobre lo que reflejan.

La AEPD está valorando la posibilidad de promover la aplicación de la acreditación de entidades de certificación de profesionales con arreglo a estándares ya establecidos. Esta acreditación, que llevaría a cabo la Entidad Nacional de Acreditación (ENAC) de acuerdo con lo previsto en esos estándares y con las peculiaridades propias del sector, serviría para constatar que la entidad que expide los títulos, certificados o certificaciones lo hace con arreglo a unos determinados procedimientos y requisitos. La acreditación no se pronuncia sobre la calidad de los contenidos de la formación o de los aspectos que se certifican.

El hecho de que algunas entidades se acrediten no implicará necesariamente que otras que no lo hagan no apliquen los mismos criterios ni tampoco que la posesión de la titulación o certificación sea la única vía para acceder a un puesto de Delegado de Protección de Datos.

La AEPD considera que estas cuestiones tendrían un carácter instrumental orientado a ofrecer apoyo a las organizaciones a la hora de designar a un DPD. No obstante, en ningún caso excluyen que profesionales con formaciones procedentes de centros no acreditados o sin una formación específica pero con experiencia profesional puedan desempeñar las funciones de Delegado si su currículo muestra que reúnen los requisitos de conocimiento y cualidades profesionales que el Reglamento establece.

– RELACIÓN ENTRE RESPONSABLES Y ENCARGADOS  DEL TRATAMIENTO.

El Reglamento describe un contenido mínimo de los contratos de encargo de tratamiento que excede las previsiones contempladas en la Directiva. En el caso español, la LOPD ya contempla la inclusión de algunos de esos contenidos en los contratos, aunque hay diferencias entre esta y el RGPD en relación a los requisitos fijados.

El contrato es el documento que determina las obligaciones de las partes ante la prestación del servicio de encargo que se acuerda. Por ello, debe respetar en todo caso el contenido fijado por el Reglamento ya que, en caso contrario, no se estarían trasladando a los encargados las obligaciones que el Reglamento específicamente prevé.

Este momento de transición entre la entrada en vigor y la aplicación del RGPD debería aprovecharse para llevar a cabo dos acciones paralelas. En primer lugar, para abordar la revisión de los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, de forma que en mayo de 2018 sean compatibles con las disposiciones del Reglamento. En segundo lugar, para comenzar a incluir en las nuevas cláusulas contractuales todos los elementos que el Reglamento considera necesarios.

La AEPD, en colaboración con las Agencias autonómicas, está trabajando en la preparación de unas recomendaciones para los contratos de encargo. No se trata de los modelos de contrato a que se refiere el Reglamento debido a que esos modelos requieren de aprobación por parte del Comité Europeo de Protección de Datos -que aún no se ha establecido-, si bien tienen el objetivo de servir de orientación en esta primera etapa para que las organizaciones respondan a los nuevos requerimientos.

– MEDIDAS DE SEGURIDAD

Responsables y encargados deben aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta:

–        Estado de la técnica y costes de aplicación.

–        Naturaleza, alcance, contexto y fines del tratamiento.

–        Riesgos para los derechos y libertades de las personas.

El Reglamento no establece listado estructurado de medidas ni prevé desarrollo o especificación como el que actualmente existe en el Reglamento de desarrollo de la LOPD.

– NOTIFICACIONES DE VIOLACIONES DE SEGURIDAD

El Reglamento establece dos tipos de notificaciones según sea el destinatario:

a. La Agencia Española de Protección de Datos.

–        Plazo máximo de  72 horas desde que se haya tenido constancia.

–        El Reglamento prevé el contenido mínimo de esta notificación.

–        Documentación de todas las violaciones de seguridad.

–        Existe esta obligación también para el encargado con respecto al responsable.

b. Los Interesados

–        Cuando es probable que la quiebra entrañe alto riesgo para los derechos y libertades de los interesados.

–        Sin dilación indebida.

–        Contenido mínimo, que no incluye posibles medidas paliativas.

– CONSULTA Y AUTORIZACIÓN PREVIAS

Consulta a la autoridad de control en protección de datos cuando una EIPD muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo “y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación”.

– RÉGIMEN SANCIONADOR

Con la entrada en vigor del Reglamento, las autoridades de control estarán facultadas para la imposición de multas coercitivas. Hay que recordar que se establecen también en le artículo 58.2 medidas correctivas, como la advertencia o apercibimiento al RT o ET, y que todas éstas pueden coexistir perfectamente con las multas administrativas, por ejemplo, prohibir el tratamiento al RT y además imponerle multa.

En el artículo 83 del RGPD se establecen las condiciones para imponer multas administrativas y sus importes. Dichas multas son discrecionales y no obligatorias y pueden imponerse por un amplio abanico de infracciones, incluidas las procesales.

Según qué disposiciones del RGPD infrinja el responsable o el encargado del tratamiento, de manera intencional o por negligencia, los apartados 4 y 5 del artículo 83 disponen límites de cuantías bastante elevados y un mecanismo novedoso para evitar las “infracciones rentables”, las multas pueden ascender a:

–        10.000.000 EUR o, en el caso de empresas, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero del año anterior, según el importe que resulte más elevado, para algunas infracciones (claramente indicadas en los numerales del apartado 4)-

–        20.000.000 EUR o, en el caso de empresas, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero del año anterior, según el importe que resulte más elevado, para otras infracciones (claramente indicadas en los numerales del apartado 5).

Luego, el artículo 84 relativo a sanciones, permite a los Estados miembros establecer las normas en materia de otras sanciones aplicables a las infracciones del Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias.

– ¿CÓMO DEBEN PREPARARSE LAS EMPRESAS?

Ya finalmente volver a comentar lo que habíamos indicado en un post anterior sobre algunos puntos clave que deben empezar a tomarse en consideración por nosotros asesores y por parte de las empresas españolas a fin de adaptarse al nuevo Reglamento antes de mayo de 2018.

–        Documentar las actividades de tratamiento de datos personales.

–        Revisar el cumplimiento de los requisitos del consentimiento (recordar que el consentimiento tácito ya no vale).

–        Revisión de todas las cláusulas informativas (incorporando toda aquella nueva información necesaria).

–        Establecer medidas complementarias de información.

–        Designar un Delegado de Protección de Datos, si procede.

–        Formar al personal.

–        Revisar contratos celebrados con encargados de tratamiento.

–        Revisar los mecanismos para realizar transferencias de datos a terceros países.

–        Efectuar una PIA o una Evaluación de Impacto en la Protección de los Datos Personales (EIPD), cuando sea necesario.

–        Efectuar consulta previa, si procede.

–        Hacer una evaluación de riesgos (puede estar contenida en la misma EIPD).

–        Implantación de nuevas medidas de seguridad, si procede.

–        Establecimiento de un protocolo para notificar incidencias y violaciones en la seguridad de la información y datos.

–        Cualquier otra actuación tendente a cumplir con el nuevo Reglamento (y demostrarlo).

 

Fuente de los datos: Agencia Española de Protección de Datos

Comparte:
Facebooktwittergoogle_pluspinterestlinkedinmailFacebooktwittergoogle_pluspinterestlinkedinmail
No Comments

Leave a Comment: