Publicada el 28/10/2016
El 14 de Abril de 2016 se publicó el Reglamento Europeo de Protección de Datos
A pesar de que es una única norma para toda la Unión Europea, y de aplicación inmediata una vez entre en vigor, debe ser interpretada a nivel nacional, es decir, nuestra Agencia Española de Protección de Datos (en adelante, AEPD), deberá pronunciarse ya que en muchos artículos (unos 50) se deja la puerta abierta a los Estados Miembros para que regulen esos aspectos.
El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Se amplía el concepto de dato personal a prácticamente toda la información, incluido los identificadores únicos (como las cookies) y la dirección IP.
La Agencia recomienda a las organizaciones que vayan adaptando sus procesos, ya que la nueva normativa supone una gestión distinta de la que se viene empleando.
Consentimiento previo
Con este Reglamento se quiere dar más control a los interesados sobre su información privada al eliminar el consentimiento tácito, tanto en redes sociales, smartphones, banca online, etc., de forma que puedan decidir qué información quieren compartir, facilitando de este modo el acceso a sus datos personales y regulando el derecho al olvido. El usuario deberá dar su consentimiento expreso a través de un contrato. A partir de mayo de 2018, sólo tendrán legitimación suficiente los tratamientos basados en el consentimiento inequívoco, con independencia de cuándo se haya obtenido ese consentimiento.
Además este Reglamento permite al interesado oponerse al uso de datos personales para crear perfiles o solicitar la portabilidad de los datos de un prestador de servicios a otro.
INFORMACIÓN
En materia de información el RGPD incluye cuestiones adicionales
que actualmente no son requeridas por la normativa española.
Es aconsejable que las organizaciones adapten sus políticas
informativas a lo dispuesto por el Reglamento.
EVALUACIONES DE IMPACTO SOBRE LA
PROTECCIÓN DE DATOS
Todo tratamiento que pueda potencialmente suponer un alto riesgo
para los derechos de los interesados debe ser objeto de una Evaluación de
Impacto.
En los demás
casos en que las evaluaciones puedan ser obligatorias, la Agencia considera que
no debería esperarse a la fecha de aplicación del Reglamento para comenzar a
utilizar esta herramienta.
DELEGADO DE PROTECCIÓN DE DATOS
Otro de los cambios significativos es la nueva figura del delegado
de protección de datos. Las empresas deberán contratar un delegado (empresas
públicas o con más de 250 trabajadores si cumple con lo establecido en el
reglamento), que será el responsable de tomar las medidas de seguridad
pertinentes en función del riesgo derivado de las operaciones de tratamiento de
datos que realice la empresa, siempre que se requiera un seguimiento periódico
y sistemático de los interesados a gran escala.
El Reglamento requiere que los Delegados de Protección de Datos
(DPD) sean nombrados en función de sus cualificaciones profesionales.
RELACIÓN ENTRE RESPONSABLES Y ENCARGADOS
El Reglamento
describe un contenido mínimo de los contratos de encargo de tratamiento que
excede las previsiones contempladas en la Directiva.
La Agencia, en colaboración con las Agencias autonómicas, está
trabajando en la preparación de unas recomendaciones para los contratos de
encargo.
HERRAMIENTAS PARA PYMES Y HERRAMIENTAS
SECTORIALES
La Agencia
está trabajando en la preparación de herramientas que ayuden a responsables y
encargados al entendimiento al cumplimiento del Reglamento. Entre ellas, hay
que destacar un recurso online orientado a las pymes que realicen tratamientos
de bajo o muy bajo riesgo.
Está previsto que este recurso se complemente con otros más
avanzados, orientados a las pymes que desarrollan tratamientos que conllevan un
nivel de riesgo algo mayor. Además la AEPD está trabajando junto a las Agencias
autonómicas en cláusulas informativas adaptadas al nuevo Reglamento para sectores
o tratamientos diferenciados.
FALLOS DE SEGURIDAD
En el caso en el que se produzcan violaciones de datos personales,
los responsables deberán comunicarlo a la Agencia Española de Protección de
Datos en un plazo de 72 horas y a los afectados cuando exista algún riesgo para
sus derechos.
VENTANILLA ÚNICA
Se unifican las exigencias de protección de datos en toda la Unión
Europea y se establece una única autoridad para resolver los conflictos
transfronterizos.
SANCIONES
Se incrementan las sanciones para quienes incumplan la normativa: la más grave puede alcanzar los 20 millones de euros o el 4% de la cifra del negocio anual total de la empresa.
La AEPD está trabajando junto a las Agencias autonómicas en el
desarrollo de la ley española sobre Protección de datos para que, una vez
fijada, las empresas tengan claro cómo se va a desarrollar la misma y sus
obligaciones respecto a la ley.