935.953.535
08 Jun Reglamento de Protección de Datos: ¿Qué novedades son obligatorias para todo tipo de empresas?
El Reglamento General de Protección de Datos que en la Unión Europea que entró en vigor el pasado 25 de mayo del 2108 viene a culminar todo un proceso para proteger un derecho fundamental de las personas físicas: toda persona tiene derecho a la protección de los datos de carácter personal que le conciernen, tal como se expone en el Considerando nº 1 de dicho reglamento.
Además, el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea establece: “1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.”
Entre los 173 Considerandos del Reglamento que ha guiado al legislador a la hora de redactar el reglamento cabe destacar la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica; armonizar las legislaciones de los diferentes países; y dar respuestas a los nuevos retos planteados por los avances tecnológico y de la globalización en materia de protección de datos.
Con todas estas premisas nace este Reglamento que es de obligado cumplimiento para todas las empresas, sea cual sea su tamaño, independientemente de su país de origen, que traten los datos personales de los ciudadanos europeos. Evidentemente no todas les empresas han de cumplir con todos los requisitos del Reglamento, pero sí que hay unos puntos que son de obligado cumplimiento para todas.
En este artículo hemos reseñado aquellos que, por su importancia y generalidad, merecen ser comentados, si bien no se trata de un listado cerrado. Hay otros, como la responsabilidad proactiva, el análisis de riesgo, etc. que también deberán tener en cuenta la totalidad de las empresas.
1. Obtención del consentimiento para el tratamiento de datos
El artículo 4. 11 del RGPD define el consentimiento como sigue: “Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
La obtención del consentimiento es uno de los puntos centrales del nuevo Reglamento General de Protección de Datos. El RGPD exige que el consentimiento sea libre, informado, específico e inequívoco. Estas notas ya figuran en la LOPD actual. La novedad que se introduce es que, para poder considerar como inequívoco el consentimiento, ha de existir una declaración o una acción positiva que manifieste su conformidad. El consentimiento tácito (la mera inacción o la no oposición en el plazo de 30 días) ya no es válido.
Con la nueva reglamentación el silencio, las casillas premarcadas o la inacción no son consideradas consentimiento válido.
Por otra parte, en relación con el tratamiento de datos de menores, la LOPD establece, salvo excepciones legales, la posibilidad de recabar datos personales de mayores de 14 años sin necesidad de recabar el consentimiento de sus padres.
2. Ampliación de derechos
En este apartado hay que reseñar, además de la creación de nuevos derechos, el deseo del legislador de un principio de trasparencia de la información.
El Capítulo III titulado “Derechos del interesado” la Sección 1ª lleva por título “Transparencia y modalidades” y el artículo 12, que regula este principio, se titula “Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado”, y dice textualmente que la comunicación del tratamiento de los datos ha de ser “(…) en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo (…)”.
Respecto a los derechos, el nuevo RGPD amplia los derechos que tenían los ciudadanos respecto a sus datos. La LOPD de 1999 establecía los derechos conocidos como ARCO: acceso, rectificación, cancelación y oposición. A éstos se les suman los derechos a la transparencia de información, limitación, supresión u olvido y portabilidad.
Derecho al olvido
Artículo 14.
“1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes (…)”.
En el caso de que no existan motivos legales que lo impidan, tal como establece el punto 3 de este mismo artículo (para ejercer el derecho a la libertad de expresión e información; por razones de interés público en el ámbito de la salud pública, etc.), la persona afectada tiene el derecho a que toda información personal que se posea sea destruida.
También podrán solicitar el bloqueo en las listas de resultados de los buscadores los enlaces que puedan facilitar encontrar informaciones, datos, etc. que puedan ser falsos, incompletos, anticuados entre otros motivos.
Derecho a la portabilidad
Artículo 20.
“1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado (…)”.
El articulado establece como condiciones, entre otras, que sea técnicamente posible y que sea por medios automatizados.
3. El Delegado de Protección de Datos
El Delegado de Protección de Datos (DPO), regulado en los artículos 37 a 39, es otra de las grandes novedades del Reglamento.
El DPO es un especialista en derecho de protección de datos, interno o externo a la empresa, y que colabora con el encargado y responsable de tratamiento de los datos.
El DPO o también llamado en inglés “Data Protection Officer” tiene múltiples funciones que vienen recogidas en el artículo 39 de RGPD:
“1. El delegado de protección de datos tendrá como mínimo las siguientes funciones:
a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
d) cooperar con la autoridad de control; e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto”.
No todas las empresas deben contar con esta figura, según el artículo 37 es obligatoria la contratación de este profesional cuando:
• El tratamiento lo lleve a cabo una autoridad u organismo público.
• Las actividades principales del responsable o encargado del tratamiento consistan en operaciones que requieren un seguimiento regular y sistemático del interesado a gran escala.
• Las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala categorías especiales de datos personales relacionados con condenas o delitos.
Además, el nuevo Reglamento de Protección Oficial de Datos recoge la obligación de contratar un DPO en organizaciones e instituciones públicas y en entidades que dispongan en su plantilla de más de 250 trabajadores.
¿Cuándo es necesario tener un DPO si una empresa tienen menos de 250 trabajadores? Será obligatoria cuando la empresa se dedique al seguimiento de forma periódica y sistemática de los datos personales para investigar y monitorizar los mercados, análisis de riegos, datos crediticios, etc.
4- Deber de información
Normativa actual (LOPD): Nuestra legislación actual establece la obligación de informar en todo proceso de recogida de datos personales sobre la existencia de un fichero o tratamiento de datos de carácter personal, la identidad del responsable del tratamiento, la finalidad de la recogida de los datos, así como de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. Asimismo, cuando los datos personales se hayan obtenido de terceros (cesión de datos personales), el responsable del tratamiento dispondrá de un plazo de tres meses para informar al interesado, debiendo indicar la procedencia de los datos.
Normativa aplicable en 2018 (RGPD): El Reglamento establece la obligación de informar sobre nuevos aspectos. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, el período de conservación de los mismos y que los interesados podrán dirigir sus reclamaciones a las Autoridades de protección de datos, si consideran que hay un problema con la forma en que están manejando sus datos. En lo que respecta al interesado cuyos datos se han obtenido de otra fuente (cesión de datos), la información anteriormente indicada deberá facilitarse en el plazo de máximo de un mes (en lugar de los tres meses indicados en la LOPD).
5. Las sanciones
Uno de los cambios notables es el importe de las sanciones. La nueva reglamentación prevé un aumento exponencial en las cantidades que se impondrán como multa cuando no se cumpla la normativa. Las sanciones que se impondrán serán independientes de las indemnizaciones que pueda recibir la persona que ha instado un proceso judicial por vulneración de sus derechos.
Las sanciones impuestas sobre infracciones al RGPD pueden ascender de los 10 millones de euros (o el 2% como máximo del volumen de negocio total anual global) hasta los 20 millones de euros (o el 4% como máximo del volumen de negocio total anual global).
En conclusión, cabe decir que ha sido un paso en la dirección correcta la armonización y clarificación del panorama legislativo en esta materia que existía en Europa.
Ahora la pregunta obligada es: ¿volverá a haber leyes nacionales sobre esta materia? La respuesta es sí. Alemania ha sido el primer país que ha legislado sobre esta materia.
Los reglamentos son normas jurídicas que poseen efecto directo en los países miembros, y que prevalecen sobre el Derecho nacional de cada uno de ellos, pero esto no priva a los países de legislar sobre las materias. En España se espera, para el segundo semestre de 2018, una ley específica sobre la protección de datos. Habrá que estar muy atentos para ver cómo matiza y clarifica algunos puntos del Reglamento.
Por Jordi Aguiló, área de Compliance y Protección de Datos en Kernel Legal.
Si necesitas ayuda en la adaptación de tu empresa en el nuevo Reglamento de Protección de Datos, ponte en contacto con nosotros.