• 11 JUN 18
    El nuevo Reglamento Europeo de Protección de Datos

    El nuevo Reglamento Europeo de Protección de Datos

    El Reglamento General de Protección de Datos (RGPD) es uno de los cambios normativos más importantes llevados a cabo por la Unión Europea, siendo de obligado cumplimiento en todos los estados miembros a partir del 25 de mayo de 2018.

    La referida normativa europea obliga a las empresas a adaptarse en materia de recopilación, uso, divulgación, retención y protección de datos personales.

    La mayor novedad que conlleva el nuevo reglamento es que los usuarios deben dar a las compañías su consentimiento explícito para que estas puedan hacer uso de sus datos.

    En todos los casos, el consentimiento tiene que ser inequívoco, claro y distinguible de otros asuntos, y el lenguaje sobre las cláusulas de privacidad deber ser “claro y comprensible”;

    Otras novedades son la obligación de contratar a un delegado de protección de datos y la regulación del derecho al olvido, es decir, a limitar la difusión de datos personales si ya no se usan para el fin con el que se recogieron, si el interesado ya no quiere que se conserven y el derecho a la portabilidad, ala posibilidad de transmitir los datos de un responsable a otro.

    Diferencias más significativas entre la LOPD y el actual RGPD

    Obtención del consentimiento para el tratamiento de datos

    •La LOPD exige el consentimiento inequívoco de los interesados para el tratamiento de sus datos. No obstante, si los datos recabados no son especialmente sensibles, se admite que dicho consentimiento pueda ser tácito, tal y como se establece en el Informe Jurídico 0645/2009 emitido por la Agencia Española de Protección de Datos. Por otra parte, en relación con el tratamiento de datos de menores, la LOPD establece, salvo excepciones legales,  la posibilidad de recabar datos personales de mayores de 14 años sin necesidad de recabar el consentimiento de sus padres.

    •El RGPD mantiene los mismos principios del consentimiento que establece la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco. Sin embargo, como novedad respecto de la LOPD, indica que para poder considerar que el consentimiento es inequívoco, deberá existir  una declaración del interesado o una acción positiva que manifieste su conformidad.

    Será necesario crear en el formulario de consentimiento una casilla de verificación en la que el usuario pueda marcar su consentimiento

    consentimiento de los menores: No pueden ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será menos de 13 años.

    Deber de información

    •LOPD: A la hora de recoger el consentimiento de los interesados se les debía informar de la persona responsable del fichero, de la existencia de los ficheros inscritos en el Registro General de Protección de Datos, de la finalidad de la recogida de los datos y de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

    •RGPD: El Reglamento establece la obligación de informar sobre nuevos aspectos. Habrá que explicar la base legal para el tratamiento de los datos, el período de conservación de los mismos y que los interesados podrán dirigir sus reclamaciones a las Autoridades de protección de datos, si consideran que hay un problema con la forma en que están manejando sus datos.

    Derechos de los interesados 

    •LOPD: los derechos reconocidos en la LOPD conocidos en España como derechos ARCO, son los siguientes:

    - Derecho de acceso

    - Derecho de rectificación

    - Derecho de oposición

    - Derecho de cancelación

    •RGPD: En el RGPD se incluyen, además de los anteriores, los siguientes derechos:

    -Derecho a la transparencia de la información (Art. 12): La información deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

    -Derecho de supresión (derecho al olvido) (Art.17): Cualquier persona tendrá derecho a que su información personal sea eliminada de los proveedores de servicios de Internet cuando lo desee, siempre y cuando quien posea esos datos no tenga razones legítimas para retenerlos.

    -Derecho de limitación (Art.18): Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.

    -Derecho de portabilidad (Art. 20): Implica que los datos personales del interesado se transmiten directamente de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado, siempre que ello sea técnicamente posible a través de medios electrónicos.

    La nueva normativa reconoce el derecho a obtener una copia de los datos personales objeto del tratamiento y también a que el cliente pueda solicitar que sus datos sean eliminados cuando estos ya no sean necesarios para la finalidad con la que fueron recogidos.

    Evaluación de impacto del tratamiento de datos personales

    •LOPD: No se regula en la LOPD.

    •RGPD: Se establece  la obligación de realizar una evaluación de impacto (Privacy Impact Assesment) para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas, en la que se evalúe el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo

    ​​Comunicación de fallos a la autoridad de protección de datos

    •LOPD: No se regula en la LOPD.

    •RGPD: Se trata de una nueva obligación del RGPD que impone al responsable del tratamiento la obligación de notificar los fallos de seguridad que se produzcan en su organización, a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas.

    Si implica un riesgo para los interesados, también se les deberá notificar a ellos.

    Registro de tratamiento de datos

    •LOPD: No se regula en la LOPD.

    •RGPD: Según lo previsto en el artículo 30 del RGPD, las organizaciones que habitualmente realicen tratamiento de datos de riesgo para la privacidad de los interesados,  o traten datos sensibles, deberán contar con un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener información relativa, entre otros aspectos, a los tratamientos de datos que se realicen, los datos personales que se traten, los destinatarios de los datos, los plazos previstos para la supresión, la finalidad de dicho tratamiento y las medidas técnicas y de seguridad adoptadas por la empresa para realizar dicho tratamiento.

    Aplicación de medidas de seguridad 

    •LOPD: establece la obligación de aplicar diferentes medidas de seguridad, en función del nivel básico, medio o alto de los datos tratados.

    •RGPD: El RGPD ya no distingue entre ficheros de nivel básico, medio o alto, sino que especifica que las medidas de seguridad se aplicarán teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. La nueva legislación habla de “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al riesgo, pero no concreta qué tipo de medidas deben aplicarse.

    El GDPR exige es que las empresas tengan una actitud consciente, diligente y proactiva del tratamiento de los datos, pudiendo demostrar, si llegara el caso, las medidas de seguridad aplicadas.

    Delegado de protección de datos (dpo)  

    •LOPD: El RLOPD, recoge en su artículo 95 la figura de Responsable de Seguridad, cuya designación es obligatoria en caso de tratamiento de ficheros de nivel medio/alto. Sus funciones se centran en coordinar la implementación de las medidas de seguridad establecidas en el mencionado RLOPD.

    •RGPD: Se introduce la nueva figura del Data Protection Officer o Delegado de Protección de Datos, que asume nuevas y cualificadas competencias en materia de coordinación y control del cumplimiento de la normativa de protección de datos. Debe tener conocimientos jurídicos y en materia de tecnología aplicada al tratamiento de datos.Sus funciones se centran en:

        • Informar y asesorar al responsable del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el Reglamento General. Debe dejar constancia en papel de las comunicaciones con el responsable del tratamiento y sus respuestas.
        • Supervisar la aplicación de las normas por el encargado del tratamiento en materia de protección de datos personales. Dentro de este apartado se incluyen: asignación de responsabilidades, formación del personal y auditorías correspondientes.
        • Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
        • Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella por solicitud de las mismas o por iniciativa propia.
        • Ejercer de punto de contacto con la autoridad de control sobre cuestiones relacionadas con el tratamiento de datos personales.- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.
        • Esta figura juega un papel determinante, ya que, en caso de incumplir las normas del nuevo reglamento, las empresas se enfrentan a multas muy elevadas.
        • -Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de datos a gran escala; o
        • Dicha figura será obligatoria cuando:

    El Delegado puede elegirse de entre personal existente en la organización del responsable de los Datos o cumplir las tareas a través de un contrato de servicios.

    Si hasta mayo de 2018 las sanciones podían ir desde 900 euros hasta 600.000, a partir de entonces no se establecen cuantías mínimas y las máximas pueden alcanzar los 20 millones de euros o hasta el 4% del volumen de negocio del infractor.