¿Cuáles son los nuevos retos en materia de protección de datos?

El Reglamento general de protección de datos (RGPD) derogará a partir del 25 de mayo de este año la normativa vigente en materia de protección de datos: la Directiva 95/46 y la Ley Orgánica 15/99 de Protección de Datos (LOPD).

Este Reglamento introduce una serie de cambios en favor de una mayor concienciación en esta área. Con él se pretende reforzar y armonizar el marco legal vigente en los Estados miembros de la Unión Europea, en una materia, que les dejaba cierto margen para regular cuestiones de importancia crucial en este campo. El nuevo Reglamento también aspira a hacer frente a los nuevos desafíos que conllevan la rápida evolución de la tecnología y la globalización, al tiempo que pretende reforzar la seguridad jurídica tan necesaria para generar confianza en la nueva economía digital.

Una de las ideas clave de este nuevo Reglamento es que las personas físicas deben tener el control de sus propios datos personales.

Analizamos de forma resumida las principales novedades:

1. Nuevas herramientas de control de los datos de los ciudadanos

Para una protección efectiva de los derechos de los interesados, el legislador europeo ha ampliado estos derechos, manteniendo los que se recogían en la anterior Directiva. Así junto con los derechos de acceso, oposición, supresión y rectificación se añaden específicamente:

  • derecho al olvido (Art. 17): El interesado tendrá derecho a obtener del responsable del tratamiento la supresión de los datos personales que le conciernan.
  • derecho a la portabilidad (Art.20): El interesado tiene derecho a transmitir sus datos a otro responsable sin obstáculos por parte del responsable al cual se los proporcionó previamente.
  • derecho a la limitación de datos: El tratamiento de datos debe ser adecuado, pertinente y limitado a lo necesario conforme a los fines para los que se han cedido.
  • derecho de información y transparencia (Art. 12): El Reglamento establece de forma clara que el principio de transparencia debe regir en todo proceso de tratamiento de datos personales. Toda información dirigida al público y al propio interesado ha de ser concisa, fácilmente accesible y fácil de entender, y con un lenguaje claro y sencillo.

2. Tipo de consentimiento prestado 

En los casos en los que sea necesario el consentimiento del interesado, el Reglamento pone especial atención en la obtención del mismo, recogiendo de forma manifiesta que  el consentimiento debe ser una declaración de voluntad, libre, específica, informada e inequívoca. Al añadir el requisito de que deba tratarse de una manifestación inequívoca se pone fin a los consentimientos que no consistan en una declaración o una clara acción afirmativa, lo que implica que ya no se admiten las casillas pre marcadas o la inacción del interesado para entender que prestan su consentimiento.
Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos.

Una persona puede retirar su consentimiento en cualquier momento. Será tan fácil retirar el consentimiento como darlo.

3. Responsabilidad proactiva

El responsable del tratamiento de datos ve modificado su rol de manera sustancial bajo la nueva normativa. Ya no existe la obligación de notificar a la autoridad de control el tratamiento de datos, pero los encargados de los tratamientos llevarán un registro de las actividades efectuadas bajo su responsabilidad.

También establece que cuando sea probable que un tratamiento entrañe un alto riesgo, el responsable del tratamiento deberá evaluar el impacto del tratamiento en la protección de datos personales antes de realizar el tratamiento.

Además, deberá aplicar las medidas técnicas y organizativas apropiadas ya desde la fase de diseño de aplicaciones, servicios y productos (“privacy by design”) que permitan o realicen un tratamiento de datos personales. Sólo se procesarán los datos personales necesarios en relación con los fines para los que fueron recogidos. (“privacy by default”)

En el supuesto de que se produzca una brecha de seguridad, la nueva normativa impone al responsable del tratamiento el deber de notificarla a la autoridad de control competente, con la mayor brevedad posible desde que hubiese tenido conocimiento de la misma.

La nueva normativa ya no hace referencia a medidas concretas de seguridad, si no que establece que deben adoptarse las medidas técnicas y organizativas necesarias y apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento.

4. Ámbito territorial del Reglamento

El Reglamento se aplicará en los siguientes casos:

  • al tratamiento de datos personales realizados por responsables/encargados con establecimiento en la Unión Europea.
  • al tratamiento de datos personales realizados por responsables/encargados no establecidos en la Unión Europea cuando se trate de oferta de bienes o servicios a interesados que residan en la Unión, o se trate de analizar el comportamiento de usuarios que residan en la Unión. En este supuesto, el responsable o el encargado del tratamiento deberá designar por escrito un representante en la Unión.
  • al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión pero en el que el Derecho de la Unión sea de aplicación en virtud del derecho internacional público.

5. Designación de Delegados de Protección de Datos 

Para garantizar el cumplimiento del RGPD, se prevé la designación de una nueva figura: el Delegado de Protección de Datos o DPO (“Data Protection Officer”, por sus siglas en inglés), cargo obligatorio en el supuesto de autoridad u organismo público, empresas en las que se realice una observación habitual y sistemática de interesados a gran escala, tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.

No será obligatorio designar un DPO en empresas de menos de 250 trabajadores, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, incluya categorías especiales de datos personales o relativos a condenas e infracciones penales.

Aunque la empresa no se encuentre dentro de los supuestos obligados de nombrar un DPO, existen razones de peso para nombrarlo igualmente dada la complejidad legal que implica y las posibles sanciones que podrían imponerse a las empresas en caso de incumplimiento de la nueva normativa.

6. Multas administrativas y sanciones 

En caso de incumplimiento, pueden llegar a imponerse multas administrativas de hasta 20 millones de euros o tratándose de una empresa, de una cuantía equivalente al 4 % del volumen de negocio total anual global del ejercicio financiero anterior (se optaría por la que suponga una mayor cuantía).

Cada Estado miembro podrá imponer las multas administrativas y/o sanciones que considere adecuadas para garantizar el cumplimiento del Reglamento. Dichas sanciones serán efectivas, proporcionadas y disuasorias.

Será posible sancionar las infracciones en los tratamientos de datos personales con multas de hasta 20.000.000 de euros.

Más información:

¿Quiénes son los actores principales en materia de protección de datos personales?

Principios básicos en la protección de datos personales en el RGPD/GDPR

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: