Las principales novedades introducidas en el Nuevo Reglamento Europeo de Protección de Datos


El nuevo Reglamento General de Protección de Datos Personales ha entrado en vigor el 25 de mayo de 2016. Sin embargo, este no comenzará a aplicarse hasta el próximo día 25 de mayo de 2018.


Este periodo de dos años hasta la aplicación efectiva del Reglamento tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones Europeas y también las organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.


En este breve artículo enumeraremos las principales novedades que se reflejan en el nuevo RGPD: El derecho de Información que antes adoptaba el consentimiento tácito, pierde su aplicación. A partir del nuevo reglamento el consentimiento deberá ser siempre explicito, con carácter general, libre, informado, específico e inequívoco. El reglamento menciona el consentimiento explicito en el caso de tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión. El consentimiento deberá ser solicitado de forma clara. La carga de la prueba recae sobre el responsable del fichero. Y el consentimiento será deberá ser recabado para cada tema en especifico. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría. En cuanto al ámbito de aplicación, se establece que este reglamento afectará a los responsables que se dirijan y traten datos de ciudadanos europeos, independientemente del lugar donde resida su negocio. Es decir, el reglamento es aplicable a aquellos responsables que no están en la Unión Europea, pero que ofrecen productos o servicios dentro de ella.


Se amplían los ejercicios de derechos por parte de los afectados. Se añaden a los anteriormente conocidos derecho ARCO, el derecho al olvido, derecho de limitación y derecho de portabilidad.

A continuación analizaremos cada uno de estos nuevos derechos incorporados ao RGPD: Derecho al olvido - se trata del derecho de los sujetos titulares de los datos a obtener, sin dilación indebida, la supresión de los datos personales que le conciernan del responsable del tratamiento en determinados supuestos, como cuando los datos no sean necesarios para las finalidades para las que fueron recogidos, cuando el interesado retire el consentimiento para su tratamiento, los datos personales hayan sido tratados ilícitamente o cuando los datos personales deban suprimirse para cumplir con una obligación legal establecida en la legislación aplicable al responsable del tratamiento.


Por tanto, cuando nos demos de baja en un servicio podremos solicitar la eliminación de nuestros datos personales, excepto que exista alguna otra normativa que lo impida. Asimismo, se podrá solicitar a una página de Internet que elimine totalmente los datos que aparecen en su web sobre nuestra persona.


El Reglamento Europeo de esta forma ha respaldado la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido. Derecho de Limitación - es aquél por el que el interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes: a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;


b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;


c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;


d) el interesado se haya opuesto al tratamiento, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado. Derecho a la Portabilidad: es aquel por el que el interesado tendrá derecho a recibir los datos personales que le correspondan, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado. Este derecho resultará útil para los cambios de compañías prestadoras de servicios, ya que no habrá que facilitar nuevamente todos nuestros datos, puesto que el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable siempre que sea técnicamente posible. Como ejemplos: los sistemas de computación en nube o cloud computing. Creación de la figura del Delegado de Protección de Datos (art. 37 del Reglamento) La creación de la figura del “Delegado de Protección de Datos”, o, en inglés, “Data Protection Officer” (DPO), que será obligatoria en toda la UE. El Delegado de Protección de Datos, es un especialista en derecho de protección de datos. El Delegado de Protección de Datos será imprescindible para los organismos públicos y para aquellas empresas que traten datos personales a gran escala. Esta figura podrá formar parte de la plantilla o ser un trabajador externo.


Evaluación de Impacto para los Responsables de los Ficheros que traten Datos Sensibles


El artículo 35 del Reglamento Europeo trata de la Evaluación de impacto relativa a la protección de datos. La Evaluación de Impacto de Protección de Datos será exigida siempre que un tratamiento concreto pueda implicar un “alto riesgo para los derechos y libertades de las personas físicas”. En qué casos determinados serán aplicables la evaluación de riesgos? (art. 35. 3, a,b y c del Reglamento):


• Tratamientos que impliquen una “evaluación sistemática y exhaustiva de aspectos personales”, con base tecnológica, como la elaboración de perfiles, sobre cuya base se tomen decisiones que produzcan efectos jurídicos para los interesados;


• Tratamiento a gran escala de datos sensibles, que ahora se redefinen como: la raza, la ideología o creencias, los datos genéticos, datos biométricos identificativos, datos de salud, vida u orientación sexual y condenas e infracciones penales y


• La observación sistemática a gran escala de una zona de acceso público Como ejemplos de tratamientos donde se debe realizar previamente una evaluación de impacto tenemos: la video vigilancia en zonas de acceso público, en ficheros de grande escala relativos a niños, datos biométricos y genéticos, preferencias personales, casos donde se pueda prever la situación económica de una determinada persona y prestaciones de servicios sanitarios. En estas hipótesis es conveniente solicitar el tratamiento al órgano de control cuando el caso así lo prevea. El órgano de control puede no autorizar si las medidas no fueren consideradas adecuadas, o exigir otras medidas. La Privacidad del Diseño (art. 25 del Reglamento) Este principio requiere que el responsable proceda, antes del tratamiento, una evaluación de impacto relativa a la protección de datos. Esta evaluación debe valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo.

Las medidas consistentes en la protección de datos desde el diseño y por defecto se asientan en:


• Reducir al máximo el tratamiento de datos personales. • Seudonimización de los datos personales. • Dar transparencia a las funciones y el tratamiento de datos personales. • Permitir a los interesados supervisar el tratamiento de datos. • Crear y mejorar elementos de seguridad.


Notificación de una violación de la seguridad de los datos personales a la autoridad de control (art. 33 del Reglamento)


El reglamento define el concepto de “Violación de Seguridad” en su art. 4. 12 : ”toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.


Las violaciones de seguridad pueden presuponer daños materiales y inmateriales y perjuicios al titular del dato. Como ejemplos de violaciones de seguridad podemos destacar: la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros constituyen violaciones de seguridad a la luz del RGPD y deben ser tratadas como el Reglamento establece.


El Reglamento en estos casos establece que el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.


El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.


La violación debe ser comunicada a los interesados, de manera clara y sencilla, cuando esta pueda entrañar un alto riesgo para sus derechos y libertades, de nuevo sin dilación indebida. La finalidad de esta notificación es que el interesado pueda tomar las precauciones necesarias para evitar consecuencias mayores.


Régimen Sancionador del Reglamento Europeo de Protección de Datos


Si antes las sanciones a nivel Español podrían llegar hasta los seiscientos mil euros, ahora la situación se complica todavía más. El Reglamento impone un régimen sancionador muy riguroso imponiendo multas que pueden alcanzar hasta los 20 millones de euros o el 4% del volumen de negocios total anual del ejercicio financiero anterior. Las multas afectan tanto a los responsables como a los encargados del tratamiento.



Entradas destacadas
Entradas recientes
Archivo
Buscar por tags
Síguenos
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square

© 2017. Edora Consulting. Todos los derechos reservados 

  • LinkedIn Social Icon
  • Wix Facebook page
  • Wix Twitter page

+34 981 92 44 04

info@edora.es