En qué te afecta la nueva normativa europea

Reglamento europeo de protección de Datos

Nuevo reglamento de protección de datos personales Europeo

La que nos espera...

El próximo 25 de mayo entrará en funcionamiento el nuevo Reglamento.

De momento está el ante Proyecto y se está trabajando sobre el Reglamento, y aunque todavía existen lagunas respecto a los Delegados, incidencias, etc. tenemos ya algunas nociones básicas a considerar:

  • Clausulas informativas

  • Contratos

  • Delegados

  • Análisis de riesgos de los datos

  • Escenarios de riesgos

  • Cifrado de datos de carácter sensible…

Aplicación de la nueva Ley

Como ya hemos dicho, la aplicación de la RGDP se producirá el 25 mayo 2018, es decir 2 años más tarde de la entrada en vigor de la Ley Europea, tiempo necesario para la adaptación del marco y reglamentación de los estados miembros a la citada normativa. Ello no significa que estemos en “suspense” sino que las leyes españolas siguen siendo plenamente válidas y aplicables hasta su entrada en vigor.

Se trata de permitir a los estados miembros su adecuación y adaptación hasta el momento en que entre en ejecución

¿A quién afecta?

El nuevo reglamento se aplicará como hasta ahora, a responsables o encargados de tratamiento de datos establecidos en la Unión Europea o fuera de ella, siempre que realicen tratamientos relacionados con compras o ventas destinados a ciudadanos de la Unión Europea, como consecuencia de la monitorización o seguimiento de su comportamiento.

Ello permitirá que el reglamento sea aplicable a empresas que podían estar utilizando datos personales de personas de la CEE y sin embargo se regían por normativas de otros países al no tener presencia física sobre este territorio, ya que la realidad de internet lo permite.

Nuevos CONTROLES de la RGPD

El Reglamento también incluye nuevas herramientas de control de datos, el derecho al olvido o el derecho a la portabilidad que mejoran la capacidad de decisión y control de los ciudadanos sobre sus propios datos.

El derecho al olvido, o derecho de las personas a solicitar de los responsables la supresión de sus datos cuando ya no sean necesarios para la finalidad concreta con que fueron entregados, cuando se retire el consentimiento o cuando se recojan de forma ilícita. También se incluye el derecho al olvido que suponga el bloqueo en las listas de resultados de los buscadores que nos lleven a informaciones obsoletas, falsas o irrelevantes o no sean de interés público.

El derecho a la Portabilidad, implica que el interesado que haya entregado sus datos a un responsable que trate sus datos de forma automatizada, los pueda recuperar y trasladarlos a otro responsable directamente designado por el interesado.

Menores Y RGPD

El reglamento establece el límite de 16 años para menores que puedan prestar su consentimiento en el ámbito de la sociedad de la información (ej. RRSS). Sin embargo permite rebajar esta edad y que cada estado miembro establezca la suya con un límite de 13 años.

En el caso de España está establecido en 14 años. Por debajo de esta edad se precisa el consentimiento de los padres o tutores.

El consentimiento debe ser siempre verificable y contener un aviso de privacidad perfectamente comprensible para un niño de esa edad.

Responsabilidad Activa

Es uno de los aspectos más importantes de la RGDP y que afecta a la prevención de las organizaciones que manejan datos personales y se basa en la adopción de medidas que aseguren el cumplimiento de los principios, derechos y garantías que el Reglamento establece para evitar infracciones y daños irreparables o difíciles de compensar.

Estas son algunas de las medidas a cumplir:

  • Protección de datos desde el diseño

  • Protección de datos por defecto

  • Medidas de seguridad y análisis de riesgos

  • Mantenimiento de un registro de tratamientos

  • Realización de evaluaciones de impacto

  • Nombramiento de Delegados

  • Notificaciones de incidencias

Mayor compromiso de las organizaciones públicas y privadas

En la mayoría de los casos supondrá una forma de gestionar la protección de datos con más rigor y disciplina de como se viene actuando hasta ahora.

Muchas de las medidas suponen una continuación o reemplazo de las anteriores como son la aplicación de medidas de seguridad y la obligación de documentación.

Otras simplemente se referencian a la correcta puesta en marcha del tratamiento de los datos, como es la privacidad, la evaluación de impacto o la existencia de un Delegado, interno o externo.

En cualquier caso, el Reglamento prevé que la obligación de las medidas dependerá de factores como el tipo de tratamiento, el volumen de datos tratados o el carácter sensible de los mismos y el riesgo que el tratamiento representa para los derechos de los titulares de los datos.

Para ello es necesario que las empresas realicen un análisis de riesgo de sus tratamientos para identificar las medidas a aplicar, que pueden abarcar desde operaciones sencillas hasta muy complejas o de gran volumen que requieran de una evaluación de riesgos más exhaustiva.

Las autoridades Europeas y la AEPD están trabajando en el desarrollo de herramientas que faciliten la identificación y valoración de riesgos así como la recomendación de medidas a aplicar especialmente para las pymes.

El consentimiento

Es sin duda, una de las bases fundamentales. La RGDP pide el consentimiento con carácter general, sea libre, informado, específico e inequívoco. Y requiere que haya una declaración del interesado o una acción positiva que indique su acuerdo. El consentimiento no puede deducirse del silencio o la inacción.

Las empresas deberán revisar la forma en la que obtienen y registran el consentimiento. El consentimiento tácito dejará de ser aceptado bajo el nuevo reglamento. Igualmente requerirá el consentimiento explícito más estricto en el caso de autorizar el tratamiento de datos sensibles.

El consentimiento deberá ser verificable y por lo tanto poder ser verificado mediante una auditoría.

Avisos de privacidad de las empresas.

En adelante, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos, si consideran inapropiado el uso de sus datos. La redacción debe ser clara y concisa.

Imagen de Odoo y bloque de texto

Ventanilla única

Se trata de unificar la Autoridad de protección de datos como interlocutora en aquellos casos en que los tratamientos afecten a ciudadanos de varios estados de la UE o tenga carácter transfronterizo, con el objeto de buscar una solución común aceptable y aplicable entre las Autoridades afectadas. Las discrepancias insalvables se elevarán al Comité Europeo de Protección de Datos.

En el caso de España, las reclamaciones se realizarán a la AEPD quien canalizará y responderá del resultado fina

                ... en resumen

Las empresas no tienen que empezar aplicar las medias hasta su entrada en vigor en mayo 2018. No obstante se recomienda que las organizaciones comiencen a valorar la implantación de algunas de las medidas previstas.

A partir de mayo, se deberán realizar análisis de riesgo de los tratamientos, el grado de complejidad, etc. Las Autoridades irán suministrando herramientas y recursos en este sentido.

Igualmente, las empresas pueden comenzar a establecer el registro de tratamientos de datos y también implantar las evaluaciones de impacto o cualquier otra medida prevista por la normativa.

También se pueden ir diseñando los procedimientos de notificación a las Autoridades ante posibles quiebras de seguridad que puedan producirse.

Las organizaciones deberán de comenzar a preparar la aplicación de las medidas derivadas del nuevo Reglamento y facilitar a los interesados el ejercicio de sus derechos.

El ir adaptándose al futuro permitirá detectar errores y dificultades en una etapa sin riesgos ni consecuencias al no estar todavía la normativa en vigor pero permitirá sin duda evitar sanciones en el momento de su aplicación

     ¡No lo dejes pasar! Las sanciones son cuantiosas