EL REGLAMENTO UE 2016/679: LA NUEVA PROTECCIÓN DE DATOS PERSONALES EN LA UNIÓN EUROPEA

Complianza Expertos en Cumplimimiento Normativo

EL REGLAMENTO UE 2016/679: LA NUEVA PROTECCIÓN DE DATOS PERSONALES EN LA UNIÓN EUROPEA

Cuestiones básicas que has de conocer acerca del RGPD.

www.complianza.net 
 Descarga el PDF

 

Sin lugar a dudas, los datos y también los personales se han convertido en el recurso fundamental -la nueva moneda de cambio- de la sociedad de la información.

Actualmente, accedemos a la información personal de multitud de personas físicas gracias a la diversidad de herramientas informáticas incrementando el flujo transfronterizo de datos personales.

Las “cookies”, por ejemplo, realizan el rastreo de los hábitos de navegación de los usuarios y crean perfiles de los usuarios imprescindibles en la industria de la publicidad comportamental; la gestión de datos de salud de la población pueden ayudar a la prevención de enfermedades, aunque también puede condicionar la contratación laboral de la persona afectada; las redes sociales, los blogs, la webs personales constituyen otra fuente de información personal donde los datos constituidos por imágenes y sonidos se consideran personales y por tanto sometidos a protección legal.

 

Pero, ¿qué datos personales se protegen?

La protección de los datos personales como derecho fundamental está vinculado al honor, a la intimidad personal y familiar; está regulado en el art. 18.4 de nuestra Constitución y el art. 8 de la Carta de los Derechos Fundamentales de la Unión Europea desde el año 2009, también en el Art. 16 TFUE.

El 25 de mayo de 2018 entrará en vigor el nuevo Reglamento Europeo 2016/679, sobre la protección del tratamiento de los datos personales de las personas físicas y libre circulación de estos datos (RGPD). Éste aunque de aplicación directa en todo el territorio de la Unión Europea, exige la adaptación y desarrollo por parte de las legislaciones nacionales como en España con Proyecto de Ley Orgánica de Protección Datos aprobado por Consejo de Ministros de 10 de noviembre 217 y remitido a Cortes Generales para su aprobación.

El RGPD define el dato personal como toda información de una persona física identificada o identificable (interesado), esto es, toda persona cuya identidad pueda determinarse, directa o indirectamente mediante un identificador, como por ejemplo, el nombre, un número de identificación (DNI,NIF,NIE, número de suscriptor, abonado…), datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética (ADN), psíquica, económica, cultural o social de dicha persona (Art. 4 RGPD).

El Reglamento Europeo prohíbe expresamente el tratamiento de categorías especiales de datos personales, como los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud, a la vida sexual u orientaciones sexuales de una persona física (Art. 9 RGPD). El tratamiento de estas categorías especiales de datos solo se permite en los supuestos previstos por el RGPD y exige el consentimiento del afectado. En España el Proyecto de LOPD (art. 10) además prevé que por ley se determinen los requisitos de seguridad y confidencialidad para esta categoría de datos.

 

¿Qué derechos tienen los interesados para proteger sus datos personales?

La protección de datos es un derecho autónomo e independiente de la intimidad, es un derecho a la privacidad, lo que implica la facultad de controlar los datos personales, su uso y su destino para impedir un trato ilícito de los mismos.

El RGPD regula el tratamiento de los datos personales de la persona física sobre los principios de licitud, lealtad y transparencia en relación al interesado (art. 5). Además, incorpora nuevos principios como obligaciones específicas de los responsables y encargados de tratamiento, y por tanto, derechos de los interesados, como la responsabilidad proactiva y acreditación del cumplimiento de los principios de protección de datos (Accountability); la obligación de la protección de datos desde el diseño de cualquier proyecto, producto o servicio que requiera tratamiento de datos personales (Privacy by desing); protección de datos por defecto, esto es, solo serán objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos (Privacy by default) y la obligación de llevar a cabo una evaluación de impacto cuando el tratamiento entrañe alto riesgo para los derechos y libertades de las personas físicas (Privacy impact assessment).

No olvidar que el concepto de tratamiento es amplio referido a cualquier operación realizada sobre los datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de acceso, cotejo o interconexión, limitación, supresión o destrucción.-

A partir de los principios inspiradores del RGPD podemos resumir los derechos de los interesados en:

  1. Consentimiento: el art. 7 RGPD exige ahora una declaración o clara acción afirmativa exigiendo al responsable del tratamiento que sea “capaz de demostrar que aquél (el interesado) consintió en el tratamiento de sus datos personales”. Se admite el consentimiento tácito salvo que, afecte a categorías especiales de datos y siempre que el responsable pueda demostrar que cumple los requisitos legales. Se regula la “mayoría de edad informática” (art.8) al reconocer como válido el consentimiento dado por los mayores de 16 años (los Estados miembros pueden reducirla hasta 13 años, como en España de conformidad con el art. 7 PLOPD). Por debajo de esa edad se necesita la autorización del titular de la patria potestad.
  2. Derecho de información. Se refuerza y amplia el contenido de este derecho (art. 12) exigiendo a las cláusulas de privacidad una “forma concisa, transparente, inteligible y de fácil acceso”, se pueden utilizar iconos normalizados para facilitar la comprensión de las políticas de privacidad, a veces demasiado técnicas para un ciudadano medio.
  3. Derecho a no ser sometido a decisiones automatizadas, incluida la elaboración de perfiles (art. 22). No se prohíben estas prácticas sino que se trata de garantizar el derecho del afectado a tener intervención humana, a expresar su punto de vista y a impugnar la decisión; posibilidades imprescindibles ante las consecuencias que se puedan derivar de técnicas como el big data y la elaboración de predicciones sobre el rendimiento laboral, situación económica, comportamiento individual, etc.
  4. Los tradicionales derechos ARCO: derecho de acceso, rectificación, cancelación y oposición al tratamiento de los datos personales.
  5. Derecho de supresión de los datos personales que le conciernan: o “derecho al olvido” (art. 17), término acuñado a partir de la Sentencia del TJUE de 13.5.14. asunto Costeja v. Google.
  6. Derecho a la limitación del tratamiento (art. 18) esto es, supuestos en los que los datos no se suprimen pero dejan de ser tratados y se conservan únicamente a efectos procesales o de prueba.
  7. Derecho a la portabilidad de los datos (art. 20). Se permite la portabilidad directa entre responsables cuando técnicamente sea posible (situación frecuente entre los operadores de telefonía móvil).

 

 

¿Qué obligaciones tienen los empresarios y Administraciones públicas ante el nuevo RGPD?

Además de las obligaciones ya expuestas derivadas de los derechos de los interesados, el RGPD incorpora nuevas obligaciones para los responsables y encargados de tratamiento, como:

  1. Designación de un Delegado de Protección de Datos (DPO)- 37 a 39- para las empresas que realicen tratamiento de datos personales a gran escala en su actividad principal. El DPO asesora e informa al responsable y/o encargado de tratamientos y a los empleados, desempeñando un papel crucial en la garantía del cumplimiento normativo.
  2. Registro interno por escrito o formato electrónico de las actividades de tratamiento efectuadas (art. 30) que no se aplica para empresas con menos de 250 trabajadores.
  3. El RGPD también promociona, como ya hacía la Directiva, la adhesión a códigos de conducta y el sometimiento a mecanismos de certificación como el Sello Europeo de Protección de Datos (arts. 40 a 43).
  4. Comunicar brechas o violaciones de la seguridad de los datos a las Autoridades Nacionales de Control en el plazo de 72 horas y sin dilación indebida (arts. 33 y 34). También se informará directamente a los usuarios cuando entrañe un alto riesgo para sus derechos y libertades.
  5. Obligación de colaboración y consulta previa a la Autoridad de Control (arts. 31 y 36).
  6. Obligaciones respecto de las transferencias de datos personales a terceros países u organizaciones internacionales (arts. 44 y ss). Se permiten siempre que se realicen basadas en una decisión de adecuación o se adopten determinadas garantías adecuadas a los requisitos del Reglamento.
  7. El Reglamento prevé sanciones administrativas con multas de hasta 20 millones de euros o el 4% del volumen de negocio anual de la empresa infractora (art. 83 y 84). Se trata de un sistema disuasorio, proporcional y efectivo que atiende a las circunstancias individuales del caso concreto y donde la colaboración con la Autoridad de Control, la adhesión a Códigos de Conducta, la intencionalidad o la naturaleza de la infracción operan como atenuantes de la responsabilidad por incumplimiento normativo. El régimen sancionatorio se regula en el art.72 y ss PLOPD y distingue entre infracciones muy graves, graves y leves con plazos de prescripción de tres, dos y un año.

 

 

¿Dónde puedo saber si cumplo con el RGPD?

Además del asesoramiento legal especializad, la Agencia Española de Protección de Datos ha creado una “Unidad de apoyo al Responsable” para facilitar especialmente a las PYMES su proceso de adaptación al RGPD: La Agencia ofrece información adicional a través de videos institucionales sobre privacidad para todos los ciudadanos, especialmente poder llegar a los jóvenes y proteger su huella digital en el futuro. www.agpd.es

 Descarga el PDF

 

 

Por Dña. Dolores Fuensanta Martínez
Doctora en Derecho
Prof. Asociada Universidad de Murcia
Ex Fiscal sustituta TSJ Murcia.
Colaboradora de Complianza, expertos en cumplimiento normativo

 

 

 

MÁS NOTICIAS SOBRE PROTECCIÓN DE DATOS

LA DENUNCIA ANÓNIMA EN EL ANTEPROYECTO DE LEY ORGÁNICA DE PROTECCIÓN DE DATOS

 

PROYECTO DE LOPD EN EL CONGRESO DE LOS DIPUTADOS

 

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *