Recuerda … viene el Reglamento General de Protección de Datos

– Información al lector – Tiempo aproximado de lectura: 6 minutos

Debido a su importancia, en varias entradas de nuestro blog hemos repetido que el Reglamento de la Unión Europea 2016/679 del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos, el Reglamento General de Protección de Datos, deroga la Directiva 95/46/CE de la que trae causa nuestra actual Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (la famosa LOPD) y convirte en inaplicable cualquier precepto de cualquier norma nacional que lo contradiga (tanto de la LOPD como del RD 1720/2007 de desarrollo de la misma) como cualquier otro precepto que regule el derecho fundamental a la protección de datos, al ser, conforme al artículo 288 del Tratado de Funcionamiento de la Unión Europea, norma de alcance general, obligatoria en todos sus elementos, directamente aplicable en cada Estado miembro, incluyéndose directamente en el orden jurídico interno de los Estados miembros y no necesitando estar integrado en el derecho interno mediante un texto nacional para su aplicación.

También hemos repetido en varias ocasiones que esta normativa entró en vigor el 25 de mayo de 2016 y su periodo de transición para la adaptación y cumplimiento de lo dispuesto en él finaliza el 25 de mayo de 2018.

Hay que preparar la estructura organizativa, adaptar procesos, procedimientos y políticas de privacidad, realizar esfuerzos en formación, renovar la documentación legal, etc …

Repasemos las novedades más relevantes:


Consentimiento

Desaparece la posibilidad del consentimiento tácito y siempre ha de ser inequívoco, libre, revocable y otorgarse mediante un acto afirmativo claro. También ha de ser específico para cada finalidad de cada tratamiento, presumiéndose que no se ha prestado libremente cuando no se permita autorizar por separado las distintas operaciones de tratamiento. Además el responsable del tratamiento debe ser capaz de demostrar que se ha prestado el consentimiento.

  • Considerandos números: 32, 40, 42, 43 y 171; y Artículos números: 4 apartado 11, 6 apartado 1 letra a), 6 apartado 4), 7, 8, 9 apartado 2 letra a), como referencias más importantes. Destacamos el considerando número 171 que determina que:

“Todo tratamiento ya iniciado en la fecha de aplicación del presente Reglamento debe ajustarse al presente Reglamento en el plazo de dos años a partir de la fecha de su entrada en vigor. Cuando el tratamiento se base en el consentimineto de conformidad con la Directiva 95/46/CE, no es necesario que el interesado de su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento.”

Principio de responsabilidad proactiva

Se tiene que acreditar que se han adoptado todas las medidas necesarias para tratar los datos personales, y de forma proactiva no reactiva, es decir antes de cualquier posible reclamación o queja.

  • Considerando número 85 y artículo 5 apartado 2 que define con claridad este concepto:

“El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo.”

Principio de transparencia

Los avisos legales y políticas de privacidad deben ser simples facilitando su comprensión y más completos, sobre todo para los menores de edad.

  • Considerandos números 39, 58, 60, 71, 78, 100 y artículos 5 apartado 1 letra a) y 12. El considerando 58 los determina con claridad:

“El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además en su caso, se visualice.”

Principio de protección por defecto y desde el diseño

Toda actividad que requiera un tratamiento de datos personales debe diseñarse desde el principio y por defecto para que se empleen y se usen los menos datos personales posibles, atendiendo al principio de minimización y teniendo en cuenta que la prioridad ha de ser la protección de la privacidad, que debe ser la base para todas las actividades del responsable del tratamiento.

  • Considerandos números 78, 108 y articulo 25, que detalla en su apartado 2 lo siguiente:

“El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.”

Evaluaciones de impacto sobre la privacidad

Ha de realizarse un informe en los supuestos que existan riesgos específicos para la privacidad al tratar ciertos datos personales, ya sea para un nuevo tratamiento o para un tratamiento que el que haya transcurrido un tiempo, y para mitigar o eliminar dichos riesgos, y para garantizar la protección de los datos personales y para demostrar la conformidad con lo establecido en el Reglamento.

  • Considerandos números 76, 84, 90, 91 y artìculos números 35 y 36, destacando lo establecido en el apartado 1 del articulo 35:

“Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

Comunicación y notificación de brechas o violaciones de seguridad.

Se deben comunicar los fallos o violaciones de seguridad a la AEPD y a los titulares de los datos si ha existido un riesgo para sus derechos.

  • Considerandos números 85, 86, 87 y 88 y artículos 4 apartado 12, 33 y 34, remarcando la definición de la violación de la seguridad de los datos personales:

“Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

Portabilidad de los datos

Cuando el tratamiento sea automatizado el interesado tiene derecho a recibir los datos en un formato estructurado, de uso común y lectura mecánica, y a que se transmitan estos datos a otro responsable de tratamiento en dicho formato.

  • Considerando número 68 y artículo número 20, del que destacamos el apartado 2, que lo limita a que sea posible:

“Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.”

Y hay mucho más …

También surge la figura del Delegado de Protección de Datos que ya analizamos al compararlo con la figura del responsable de seguridad (¿Bye bye responsable de seguridad, hello DPO?) y el derecho al olvido en Internet, así mismo surgen muchas dudas entre las que destacan la posible desaparición de los niveles de protección (básico, medio y alto) y la permanencia o no del documento de seguridad, entre otras cuestiones.

Recuerda que estamos en una fase de adaptación: no lo dejes todo para última hora … busca formación e información.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *