Artículo
¿Qué implica el nuevo Reglamento Europeo de Protección de Datos? #RGPD
La nueva normativa amplía los derechos de los usuarios y las obligaciones de las organizaciones
El 25 de mayo de 2018 entrará en vigor el nuevo Reglamento Europeo de Protección de Datos (RGPD), del que nacerán nuevas obligaciones que las empresas deberán cumplir. El objetivo es ofrecer más control a los ciudadanos sobre su información personal en el contexto de la era digital (smart cities, big data, redes sociales, geolocalización a través de dispositivos, etc…) al tiempo que se reducen cargas administrativas y se facilita la aplicación por parte de las empresas europeas.
El RGPD modifica algunos aspectos del régimen actual (LOPD) y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias. Las empresas que no se hayan adaptado a tiempo bajo se enfrentan a multas y sanciones de hasta 20M€ o el 4% del volumen de negocio. Gartner calcula que más del 50% de las organizaciones no estarán preparadas para cumplir con la normativa en la fecha propuesta.
Estas son las principales claves de la nueva normativa, extraídas de la Guía del RGPD de la Agencia Española de Protección de Datos:
El consentimiento debe ser “inequívoco”
No se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción. Es decir, debe haber una manifestación del interesado o mediante una clara acción afirmativa (p. ej. cuando el interesado continúa navegando por una web y acepta así que se utilicen cookies para monitorizar su navegación).
Además de inequívoco, ha de ser explícito en los casos siguientes:
Tratamiento de datos sensibles.
Adopción de decisiones automatizadas.
Transferencias internacionales.
Claridad y sencillez de la información a los interesados
Las cláusulas informativas deberán explicar el contenido al que inmediatamente se refieren de forma clara y accesible para los interesados, con independencia de sus conocimientos en la materia. Debe realizarse por escrito, incluidos los medios electrónicos, en el momento de la recogida de datos (directa o indirecta), si cambia la finalidad o si hay transferencia de datos a terceros.
También se establece una lista exhaustiva de la información que debe proporcionarse a los interesados:
Base jurídica del tratamiento.
Intención de realizar transferencias internacionales.
Datos del delegado de protección de datos (responsable y asesor en materia de protección de datos de la compañía, sin responsabilidad jurídica), si lo hubiere.
Nuevos derechos
Además de los tradicionales ARCO, incorpora nuevos derechos y establece condiciones concretas sobre el procedimiento a seguir para atender a los interesados en el ejercicio de sus derechos:
Los procedimientos y las formas para ello deben ser visibles, accesibles y sencillas.
El ejercicio de los derechos será gratuito para el interesado, excepto en los casos en que se formulen solicitudes manifiestamente infundadas o excesivas.
Se reconoce el derecho a obtener una copia de los datos y a acceder en cualquier momento, hasta el máximo detalle, en un formato estructurado, de uso común y lectura mecánica.
Relaciones responsable-encargado
El responsable es la persona física o jurídica, autoridad pública, servicio u otro organismo que determine los fines y medios del tratamiento y quien asegura el cumplimiento de la normativa por parte del encargado de tratar los datos personales. La relación entre responsable y encargado debe formalizarse en un contrato o acto jurídico.
El responsable debe mantener un registro de actividades de tratamiento, determinar las medidas de seguridad y designar un delegado de protección de datos, cuando sea necesario.
Nueva figura: el delegado de protección de datos
Es el responsable y asesor en materia de protección de datos de la compañía, sin responsabilidad jurídica. Debe facilitar el cumplimiento de la normativa, la implementación de herramientas de rendición de cuentas, y actuar de intermediarios entre las partes interesadas correspondientes (autoridades, unidades de negocio dentro de la empresa…).
La designación de un delegado es obligatoria para autoridades y organismos públicos, y responsables o representantes que requieran un tratamiento o una observación habitual y sistemática de interesados a gran escala.
Medidas de seguridad
Los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo. En los casos en que la Evaluación de Impacto sobre la Protección de Datos (EIPD) haya identificado un alto riesgo que, a juicio del responsable de tratamiento, no pueda mitigarse por medios razonables en términos de tecnología disponible y costes de aplicación, el responsable deberá consultar a la autoridad de protección de datos competente.
Registro de actividades de tratamiento
Las organizaciones de 250 trabajadores o más deberán mantener un registro de operaciones de tratamiento en el que se contenga la información que establece el RGPD y recoja cuestiones como:
Nombre y datos de contacto del responsable o corresponsable y del delegado de protección de datos si existiese.
Finalidades del tratamiento.
Descripción de categorías de interesados y categorías de datos personales tratados.
Transferencias internacionales de datos.
Notificación de “violaciones de seguridad de los datos”
La destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos, deberá ser documentada y notificada a la autoridad competente. También deberá comunicarse a los interesados en caso de que entrañe un alto riesgo para sus derechos o libertades.
Transferencias internacionales
Los datos solo podrán ser comunicados fuera del Espacio Económico Europeo a países, territorios o sectores específicos sobre los que la Comisión haya adoptado una decisión reconociendo que ofrecen un nivel de protección adecuado, o cuando se apliquen excepciones.
Código de conducta
Se define una certificación del cumplimiento del código de conducta que otorgará la agencia de protección de datos u organismos de certificación acreditados. Las certificaciones serán voluntarias y tendrán una validez de tres años.
Valoración general
Ante el creciente uso de los datos en la economía digital, que incluso sustentan nuevos modelos de negocio, el RGPD supone una actualización muy necesaria para adaptar las normas actuales y asegurar los derechos de la ciudadanía.
Por otro lado, la normativa presenta dudas respecto a la interpretación en la normativa de términos como “medidas apropiadas o proporcionadas”, “garantías suficientes” o “expectativas razonables”, porque necesitan concreción. Sin embargo, las organizaciones deben empezar a trabajar ya para modificar algunos aspectos del régimen actual y analizar y aplicar las nuevas obligaciones para llegar a tiempo antes de la fecha límite.