EL NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS EN 12 PREGUNTAS
El Reglamento de protección dedatos en 12 preguntas
El Reglamento General de Protección deDatos ha entrado en vigor el 25 de mayo de 2016. La AEPD ha elaborado estedocumento simplificado, que sigue el formato pregunta-respuesta, para facilitarla comprensión del nuevo marco normativo a los ciudadanos y ayudar a lasorganizaciones a adaptarse a los cambios que incorpora y cumplir así con susobligaciones.
1. La entrada en vigordel Reglamento, ¿supone que ya no se aplica la Ley Orgánica de Protección deDatos española?
No. El Reglamento haentrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dosaños después, el 25 demayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normasnacionales que la trasponen, entre ellas la española, siguen siendo plenamenteválidas y aplicables.
2. ¿Cuál es, entonces, el significado deque el Reglamento haya entrado en vigor?
El periodo de dos años hasta laaplicación del Reglamento tiene como objetivo permitir que los Estados de la Unión Europea, lasInstituciones Europeas y también las organizaciones que tratan datos vayanpreparándose y adaptándose para el momento en que el Reglamento sea aplicable.
En esos dos años, por ejemplo, losEstados miembros pueden adoptar o iniciar la elaboración de determinadas normasque sean necesarias para permitir o facilitar la aplicación del Reglamento.Esas normas no pueden ser contrarias a las disposiciones de la vigenteDirectiva ni tampoco ir más allá de los poderes de actuación normativa que elpropio Reglamento prevé de forma explícita o implícita.
3. ¿A qué empresas u organizaciones seaplica?
El Reglamento se aplicará como hastaahora a responsables oencargados de tratamiento de datos establecidos en la Unión Europea, y seamplía a responsables y encargados no establecidos en la UE siempre querealicen tratamientos derivados de una oferta de bienes o servicios destinados aciudadanos de la Unión o como consecuencia de una monitorización yseguimiento de su comportamiento.
Para que esta ampliación del ámbito deaplicación pueda hacerse efectiva, esas organizaciones deberán nombrar unrepresentante en la Unión Europea, que actuará como punto de contacto de lasAutoridades de supervisión y de los ciudadanos y que, en caso necesario, podráser destinatario de las acciones de supervisión que desarrollen esasautoridades. Los datos de contacto de ese representante en la Unión deberánproporcionarse a los interesados entre la información relativa a lostratamientos de sus datos personales.
2. ¿Qué implica para losciudadanos que el Reglamento amplíe el ámbito de aplicación territorial?
3.
Esta novedad supone una garantía adicional a losciudadanos europeos. En la actualidad, para tratar datos no es necesariomantener una presencia física sobre un territorio, por lo que el Reglamentopretende adaptar los criterios que determinan qué empresas deben cumplirlo a larealidad del mundo de internet.
Ello permite que el Reglamento seaaplicable a empresas que, hasta ahora, podían estar tratando datos de personasen la Unión y, sin embargo, se regían por normativas de otras regiones o paísesque no siempre ofrecen el mismo nivel de protección que la normativa europea.
4. ¿Qué nuevasherramientas de control de sus datos poseen los ciudadanos?
5.
El Reglamento introduce nuevoselementos, como el derechoal olvido y el derecho a la portabilidad, que mejoran la capacidad dedecisión y control de los ciudadanos sobre los datos personales que confían aterceros.
El derecho al olvido se presenta como laconsecuencia del derecho que tienen los ciudadanos a solicitar, y obtener delos responsables, que los datos personales sean suprimidos cuando, entre otroscasos, estos ya no sean necesarios para la finalidad con la que fueronrecogidos, cuando se haya retirado el consentimiento o cuando estos se hayanrecogido de forma ilícita. Asimismo, según la sentencia del Tribunal deJusticia de la Unión Europea de 13 de mayo de 2014, que reconoció por primeravez el derecho al olvido recogido ahora en el Reglamento europeo, supone que elinteresado puede solicitar que sebloqueen en las listas de resultados de los buscadores losvínculos que conduzcan a informaciones que le afecten que resulten obsoletas,incompletas, falsas o irrelevantes y no sean de interés público, entre otrosmotivos.
Por su parte, el derecho a laportabilidad implica que el interesado que haya proporcionado sus datos a unresponsable que los esté tratando de modo automatizado podrá solicitarrecuperar esos datos en un formato que le permita su traslado a otroresponsable. Cuando ello sea técnicamente posible, el responsable deberátrasferir los datos directamente al nuevo responsable designado por elinteresado.
6. ¿A qué edad pueden los menoresprestar su consentimiento para el tratamiento de sus datos personales?
El Reglamento establece que la edad enla que los menores pueden prestar por sí mismos su consentimiento para eltratamiento de sus datos personales en el ámbito de los servicios de lasociedad de la información (por ejemplo, redes sociales) es de 16 años. Sinembargo, permite rebajar esa edad y que cada Estado miembro establezca la suyapropia, estableciendo un límite inferior de 13 años. En el caso de España, eselímite continúa en 14 años. Por debajo de esa edad, es necesario elconsentimiento de padres o tutores.
En el caso de las empresas que recopilendatos personales, es importante recordar que el consentimiento tiene que serverificable y que el aviso de privacidad debe estar escrito en un lenguaje quelos niños puedan entender.
7. ¿Qué implica la responsabilidadactiva recogida en el Reglamento?
Uno de los aspectos esenciales delReglamento es que se basa en la prevención por parte de las organizaciones quetratan datos. Es lo que se conoce como responsabilidad activa. Las empresas deben adoptarmedidas que aseguren razonablemente que están en condiciones de cumplir con losprincipios, derechos y garantías que el Reglamento establece. ElReglamento entiende que actuar sólo cuando ya se ha producido una infracción esinsuficiente como estrategia, dado que esa infracción puede causar daños a losinteresados que pueden ser muy difíciles de compensar o reparar. Para ello, elReglamento prevé una batería completa de medidas:
- Protección de datos desde el diseño
- Protección de datos por defecto
- Medidas de seguridad
- Mantenimiento de un registro detratamientos
- Realización de evaluaciones de impactosobre la protección de datos
- Nombramiento de un delegado deprotección de datos
- Notificación de violaciones de laseguridad de los datos
- Promoción de códigos de conducta yesquemas de certificación.
8. Entonces, ¿supone una mayor carga deobligaciones para las empresas?
El Reglamento supone un mayor compromiso de lasorganizaciones, públicas o privadas, con la protección de datos. Pero ello noimplica necesariamente ni en todos los casos una mayor carga. En muchos casosserá sólo una forma de gestionar la protección de datos distinta de la que seviene empleando ahora.
En primer lugar, algunas de las medidasque introduce el Reglamento son una continuación o reemplazan a otras yaexistentes, como es el caso de las medidas de seguridad o de la obligación dedocumentación y, hasta cierto punto, la evaluación de impacto y la consulta aAutoridades de supervisión.
Otras constituyen la formalización enuna norma legal de prácticas ya muy extendidas en las empresas o que, en todocaso, formarían parte de una correcta puesta en marcha de un tratamiento dedatos, como pueden ser la privacidad desde el diseño y por defecto, laevaluación de impacto sobre protección de datos en ciertos casos o la existencia de un delegado deprotección de datos.
En todos los casos, el Reglamento prevé que laobligación de estas medidas, o el modo en que se apliquen, dependerá de factores tales comoel tipo de tratamiento, los costes de implantación de las medidas o el riesgoque el tratamiento presenta para los derechos y libertades de los titulares delos datos.
Por ello, es necesario que todas las organizaciones que tratandatos realicen un análisis de riesgo de sus tratamientos para poder determinarqué medidas han de aplicar y cómo hacerlo. Estos análisis pueden seroperaciones muy simples en entidades que no llevan a cabo más que unos pocostratamientos sencillos que no impliquen, por ejemplo, datos sensibles, uoperaciones más complejas en entidades que desarrollen muchos tratamientos, queafecten a gran cantidad de interesados o que por sus características requierende una valoración cuidadosa de sus riesgos.
Las Autoridades de protección de datoseuropeas de forma colectiva, y la Agencia Española individualmente, están yatrabajando en el desarrollo de herramientas que faciliten la identificación yvaloración de riesgos y en recomendaciones sobre la aplicación de medidas,especialmente en relación con pymes que realizan los tratamientos de datos máshabituales en la gestión empresarial.
9. ¿Cambia la forma en la que hay queobtener el consentimiento?
Unade las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pideque el consentimiento, concarácter general, sea libre, informado, específico e inequívoco. Parapoder considerar que el consentimiento es ?inequívoco?, el Reglamento requiereque haya una declaración de los interesados o una acción positiva que indiqueel acuerdo del interesado. El consentimiento no puede deducirse del silencio ode la inacción de los ciudadanos.
Las empresas deberían revisar la formaen la que obtienen y registran el consentimiento. Prácticas que se encuadran enel llamado consentimiento tácito y que son aceptadas bajo la actual normativadejarán de serlo cuando el Reglamento sea de aplicación.
Además, el Reglamento prevé que elconsentimiento haya de ser explícito en algunos casos, como puede ser paraautorizar el tratamiento de datos sensibles. Se trata de un requisito másestricto, ya que el consentimiento no podrá entenderse como concedidoimplícitamente mediante algún tipo de acción positiva. Así, será preciso que ladeclaración u acción se refieran explícitamente al consentimiento y altratamiento en cuestión.
Hay que tener en cuenta que elconsentimiento tiene que ser verificable y que quienes recopilen datospersonales deben ser capaces de demostrar que el afectado les otorgó suconsentimiento. Por ello, es importante revisar los sistemas de registro delconsentimiento para que sea posible verificarlo ante una auditoría.
10. ¿Deben las empresas revisar susavisos de privacidad?
Con carácter general, sí. El Reglamento prevéque se incluyan en la información que se proporciona a los interesados unaserie de cuestiones que con la Directiva y muchas leyes nacionales detrasposición no eran necesariamente obligatorias. Por ejemplo, habrá queexplicar la base legal para el tratamiento de los datos, los períodos deretención de los mismos y que los interesados puede dirigir sus reclamaciones alas Autoridades de protección de datos. Si creen que hay un problema con laforma en que están manejando sus datos. Es importante recordar que elReglamento exige de forma expresa que la información que se proporcione seafácil de entender y presentarse en un lenguaje claro y conciso.
11. En qué consiste el sistema de'ventanilla única'?
Este sistema está pensado para que losresponsables establecidos en varios Estados miembros o que, estando en un soloEstado miembro, hagan tratamientos que afecten significativamente a ciudadanosen varios Estados de la UE tengan una única Autoridad de protección de datoscomo interlocutora. También implica que cada Autoridad de protección de datoseuropea, en lugar de analizar una denuncia o autorizar un tratamiento anivel estrictamente nacional, a partir de la aplicación del Reglamento valorarási el supuesto tiene carácter transfronterizo, en cuyo caso habrá que abrir unprocedimiento de cooperación entre todas las Autoridades afectadas buscando unasolución aceptable para todas ellas. Si hay discrepancias insalvables, el casopuede elevarse al Comité Europeo de Protección de Datos, un organismo de laUnión integrado por los directores de todas las Autoridades de protección dedatos de la Unión. Ese Comité resolverá la controversia mediante decisionesvinculantes para las Autoridades implicadas.
Estenuevo sistema no supone que los ciudadanos tengan que relacionarse con variasAutoridades o con Autoridades distintas de la del Estado donde residan. Siemprepueden plantear sus reclamaciones o denuncias ante su propia Autoridad nacional (en el caso español,la Agencia Española de Protección de Datos). La gestión será realizada por esaAutoridad, que será también responsable de informar al interesado del resultadofinal de su reclamación o denuncia.
La ventanilla única, en todo caso, noafectará a empresas que sólo estén en un Estado miembro y que realicentratamientos que afecten sólo a interesados en ese Estado.
12. ¿Tienen las empresas que empezar aaplicar ya las medidas contempladas en el Reglamento?
Lasempresas deben ir aplicando el nuevo Reglamento ya que su entrada en vigor esmayo del 2018.
Lasorganizaciones deben tener en cuenta que a partir de mayo de 2018 deberánrealizar análisis de riesgo de sus tratamientos y que puede ser útil para ellas empezardesde ahora a identificar el tipo de tratamientos que realizan, el grado decomplejidad del análisis que deberán llevar a cabo, etc. En esta tarea podríanutilizar las herramientas y recursos que paulatinamente vayan desarrollando lasAutoridades de protección de datos.
Igualmente, nada impide que las organizacionescomiencen a planificar o a establecer el registro de tratamientos de datos o aimplantar las evaluaciones de impacto o cualquiera otra de las medidasprevistas.
Del mismo modo, las organizacionespodrían comenzar a diseñar e implantar los procedimientos para notificaradecuadamente a las Autoridades de protección de datos o a los interesados lasquiebras de seguridad que pudieran producirse.
En general, las organizaciones quetratan datos personales deberían comenzar a preparar la aplicación de estasmedidas, así como de otras modificaciones prácticas derivadas del Reglamento.Por ejemplo, el Reglamento exige que los responsables de tratamiento facilitena los interesados el ejercicio de sus derechos. Aunque la interpretación de?facilitar? pueda variar dependiendo de los casos, incluye en todos ellos algúntipo de actuación positiva por parte de los responsables para hacer másaccesibles y sencillas las vías para el ejercicio de derechos.
La ventaja de una pronta aplicación esque permitirá detectar dificultades, insuficiencias o errores en una etapa enque estas medidas no son obligatorias y, en consecuencia, su corrección oeficacia no estarían sometidas a supervisión. Ello permitiría corregir errorespara el momento en que el Reglamento sea de aplicación.
Fuente: AEPD
