Novedades en el ámbito de la normativa de Protección de Datos de Carácter Personal.

El Reglamento Europeo de Protección de Datos en vigor desde el pasado 25 de mayo de 2016, no será aplicable hasta el próximo 25 de mayo de 2018, sin embargo las organizaciones deben ser conscientes de las novedades que introduce en el ámbito de la normativa de protección de datos de carácter personal.

El Reglamento impone un cambio muy sustancial en el modelo de cumplimiento, puesto que se exige un compromiso más activo por parte de las organizaciones. La Agencia Española de Protección de Datos anima a adaptar sus procesos al Reglamento de manera paulatina, de modo que agotado el periodo transitorio, las organizaciones puedan afrontar las implicaciones prácticas de su implantación de modo más eficaz.

Responsables y encargados se enfrentan a retos en los que su responsabilidad se individualiza y el Reglamento les exige que sean proactivos en el cumplimiento y observancia de la Norma.

A grandes rasgos, la Ley Orgánica 15/1999 de protección de datos de carácter personal, establecía 3 niveles de seguridad según la sensibilidad de los datos que se trataban, se tenía que registrar los ficheros con datos de carácter personal en la AEPD, elaborar el documento de seguridad donde se plasmaba todo el protocolo en materia de protección de datos, junto con los anexos, se le daba al afectado la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición (ARCO) y establecía sanciones desde 600-600.000 € según la gravedad de la vulneración. Todo esto desaparece con el Reglamento Europeo de Protección de Datos (REPD).

El RGPD introduce un nuevo enfoque en el tratamiento, la gestión, coordinación y control de las medidas de protección de datos de las personas físicas. Este nuevo enfoque se basa en la aplicación de varios principios:

Parte de la idea de accountability, por la que la responsabilidad de quién trate datos personales no existe sólo en caso de infracción, sino que se debe ser diligente a la hora de adoptar todas las medidas necesarias para el cumplimiento normativo.

El RGPD, conforme al principio de privacidad por defecto, establece que se deben limitar los datos personales recabados a los usuarios al mínimo necesario, limitando tanto el uso como su conservación y el acceso a los mismos.

Refuerzo del consentimiento

De acuerdo con la LOPD, el consentimiento del interesado era “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”. Sin embargo, con el nuevo RGPD, se añade el requisito de que dicho consentimiento se otorgue “mediante una declaración o una clara acción afirmativa”.

Así, en aquellos supuestos en los que sea necesario el consentimiento del interesado, ya no cabe el consentimiento tácito que en ocasiones se permitía, especialmente en el ámbito de internet, sino que debe haber una acción positiva por su parte.

Derecho al olvido y derecho a la portabilidad

El RGPD no sólo reconoce los clásicos derechos de acceso, rectificación, cancelación y oposición, con algunas diferencias terminológicas, sino que regula dos nuevos derechos, el denominado derecho al olvido, y el derecho a la portabilidad de los datos.

Obligación de notificar los fallos de seguridad

El RGPD incluye la obligación del responsable del tratamiento de notificar cualquier violación de la seguridad de los datos personales, tanto a la autoridad de control, como a los interesados.

Obligaciones en el seno de la empresa: Registro de actividades, Análisis de Riesgos y Delegado de Protección de Datos.

El RGPD traslada la responsabilidad de la adecuada protección de los datos personales a las empresas que lleven a cabo los correspondientes tratamientos.

Por lo tanto, las empresas deberán tener en cuenta las siguientes obligaciones según el RGPD:

1. En primer lugar. REGISTRO DE ACTIVIDADES

Las empresas y organizaciones que empleen a más de 250 personas, las que traten datos de manera frecuente, de manera que pueda entrañar un riesgo para los derechos y libertades, o incluyan datos personales especialmente protegidos o relativos a condenas e infracciones penales, deberán tener un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro interno que tienen que efectuar tanto responsables como encargados de tratamiento deberá realizarse por escrito, y contener información detallada acerca de cada tratamiento de datos que realicen

2. En segundo lugar. ANÁLISIS DE RIESGOS

De acuerdo con el art. 35 RGPD, en algunos supuestos en los que sea probable que un tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, en especial por el uso de nuevas tecnologías, el responsable del tratamiento deberá realizar, antes del tratamiento, una evaluación del impacto (data protection impact assessment) de las operaciones de tratamiento en la protección de datos personales.

Análisis de riesgos de protección de datos

El objetivo del análisis de riesgos es determinar la probabilidad de que se produzcan situaciones no deseadas y su gravedad. Por lo tanto, concretaremos y describiremos qué medidas se han previsto para los procesos clave del tratamiento que estamos evaluando.

Se deberá analizar también las diferentes medidas que se han previsto inicialmente para reducir los riesgos del tratamiento (en sus dos dimensiones: probabilidad y gravedad). De esta forma, podemos valorar el nivel de riesgo inicial de las operaciones de tratamiento que se han diseñado.

3. En tercer lugar. DELEGADO DE PROTECCIÓN DE DATOS

El artículo 37 del Reglamento General de Protección de Datos determina la obligatoriedad de la designación del Delegado de Protección de Datos en tres supuestos:

Cuando el tratamiento lo lleve a cabo una autoridad u organismo público;

Cuando las actividades principales del responsable o encargado del tratamiento consistan en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala.

Cuando las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos.

Además, en el proyecto de  Ley  Orgánica  de  Protección  de  Datos  de  Carácter  Personal se establece que Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:

1. Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
2. Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones.
4. Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.
5. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
6. Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
7. Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
8. Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
9. Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
11. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
13. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
14. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
15. Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.

El Delegado de Protección de Datos deberá de estar nombrado y comunicado a la AEPD antes del 25 de mayo. No hacerlo acarreará sanción.

 Otra diferencia significativa es la cuantía multas administrativas con las que se puede sancionar, las mismas pueden llegar a ser de 10.000.000 o 20.000.000 de euros según el artículo que se vulnere.