R-2: “CONDICIONES PARA EL CONSENTIMIENTO”

Algunas de las novedades del Reglamento europeo (2016/679) de protección de datos

1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.

3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

 

 

 

 

 

R-1: “PRINCIPIOS RELATIVOS AL TRATAMIENTO”

Algunas de las novedades del Reglamento europeo (2016/679) de protección de datos 

1 – Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);

e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

2 – El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).

IMPLICACIONES PRÁCTICAS DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS PARA LAS EMPRESAS EN EL PERIODO DE TRANSICIÓN

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD). Aunque no comenzará a aplicarse hasta dos años después, es importante que las organizaciones vayan adaptando sus procesos, ya que la nueva normativa supone una gestión distinta de la que se viene empleando.

1. Consentimiento

El RGPD requiere que las personas cuyos datos se tratan presten su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que actualmente permite la normativa española. Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando los criterios fijados por el propio Reglamento.

2. Información

En materia de información, el RGPD incluye cuestiones adicionales que actualmente no son requeridas por la normativa española. Cabe plantearse, por tanto, qué va a suceder con todas las cláusulas informativas utilizadas con anterioridad a mayo de 2018 una vez que el Reglamento sea de aplicación.

3. Evaluaciones de impacto sobre la protección de datos

La realización de Evaluaciones de Impacto sobre la protección de datos -aplicables de forma obligatoria en ciertos tratamientos- tiene carácter previo a la puesta en marcha de los mismos y tiene como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos. No debería esperarse a la fecha en que la realización de las evaluaciones resulte obligatoria para comenzar a utilizar esta herramienta, ya que requiere de preparación, elección de la metodología adecuada, identificación de los equipos de trabajo y otra serie de condiciones que no pueden improvisarse.

4. Certificación

El Reglamento concede una especial atención a la implantación de esquemas de certificación y abre diversas posibilidades para su gestión. Las certificaciones pueden ser otorgadas por las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas. La AEPD entiende que, entre todas las posibilidades, lo mejor es encomendar la certificación a entidades especializadas debidamente acreditadas y dejar que se ocupe de la acreditación de éstas la Entidad Nacional de Acreditación (ENAC), contando para ello con la participación de la Agencia.

5. Delegados de protección de datos. Certificación

El Reglamento requiere que los Delegados de Protección de Datos (DPD, o DPO, Data Protection Officer) sean nombrados en función de sus cualificaciones profesionales, en especial su conocimiento en materia de protección de datos, y su capacidad para el desempeño de sus funciones. La AEPD considera que no es oportuno establecer un sistema de certificación de Delegados de Protección de Datos que opere como requisito para el acceso a la profesión, pero sí está valorando la posibilidad de promover la aplicación de la acreditación de entidades de certificación de profesionales con arreglo a estándares ya establecidos.

6. Relación entre responsables y encargados

El Reglamento describe un contenido mínimo de los contratos de encargo de tratamiento que excede las previsiones contempladas en la Directiva. En el caso español, la LOPD ya contempla la inclusión de algunos de esos contenidos en los contratos, aunque hay diferencias entre ésta y el RGPD en relación a los requisitos fijados.

El contrato es el documento que determina las obligaciones de las partes ante la prestación del servicio de encargo que se acuerda. Por ello, debe respetar en todo caso el contenido fijado por el Reglamento ya que, en caso contrario, no se estarían trasladando a los encargados las obligaciones que el Reglamento específicamente prevé.

Este momento de transición entre la entrada en vigor y la aplicación del RGPD debería aprovecharse para llevar a cabo dos acciones paralelas:

-Abordar la revisión de los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, de forma que en mayo de 2018 sean compatibles con las disposiciones.

-Empezar a incluir, en las nuevas cláusulas contractuales, todos los elementos que el Reglamento considera necesarios.

7. Herramientas para pymes y herramientas sectoriales

La AEPD está trabajando en la preparación de herramientas que ayuden, a responsables y encargados, a entender y cumplir el Reglamento. Está previsto que este recurso se complemente con otros más avanzados, orientados a las pymes que desarrollan tratamientos que conllevan un nivel de riesgo algo mayor como consecuencia de alguna circunstancia concreta -como puede ser el manejo de datos sensibles- y que incluirá un apartado dedicado a las medidas de seguridad que deben implantarse.

(Fuente: Agencia Española de Protección de Datos)

EL CONSENTIMIENTO EXPRESO E INEQUÍVOCO

Ésta va a ser una de las diferencias sustanciales del nuevo Reglamento Europeo de Protección de Datos.

El nuevo Reglamento exige una manifestación de consentimiento expresa e inequívoca, lo que supone que se prohíbe el consentimiento tácito (“Que no se expresa o no se dice pero se supone o se sobreentiende”) que era una de las fórmulas más utilizadas por las empresas.

Es por ello, entre otros aspectos, por lo que Mar España (Directora de la Agencia Española de Protección de Datos, y en el marco de la 8ª Sesión Anual de la Agencia Española de Protección de Datos) recomendó a las empresas y entidades que la adaptación de los procesos en materia de protección de datos se lleve a cabo de manera progresiva, para así detectar las posibles dificultades en su aplicación y tomar medidas que permitan solucionarlas.

Cuando el nuevo Reglamento sea de aplicación (mayo 2018) se regula el que los consentimientos obtenidos con anterioridad solo seguirán siendo válidos si se obtuvieron respetando los criterios establecidos por esta normativa comunitaria (consentimiento expreso e inequívoco). Así pues, será bueno que las organizaciones que en la actualidad fundamentan sus consentimientos en un consentimiento tácito, empiecen ya a adaptarse a las exigencias del Reglamento.

A nivel de sitios web otro aspecto a tener en cuenta en el nuevo Reglamento es que la información que debe darse a los interesados con anterioridad al inicio de los tratamientos incluye cuestiones que aún no han sido requeridas por la normativa española. La AEPD estima que en estos casos no será necesario comunicar la cláusula informativa a todas aquellas personas sobre las que ya se está realizando el tratamiento, sino que bastará con publicarlas en la página web de la empresa o institución, o a través de los canales de comunicación habituales que puedan mantener con sus clientes. Recomienda, en este respecto, que se vayan adaptando las cláusulas informativas con tiempo las exigencias del Reglamento.

“CÁPSULAS DE CONOCIMIENTO”: NUEVO FORMATO DE COMUNICACIÓN-INFORMACIÓN-FORMACIÓN

El pasado 26 de mayo nuestra socia Irene López se “estrenó” -de la mano de ACEDE- en un nuevo formato de comunicación-información-formación:

“Las cápsulas de conocimiento”

IMG_20160530_111029

en el que, contando con un auditorio reducido, pero verdaderamente interesado en la temática, aprovecha la “proximidad física” para establecer una relación muy directa entre el ponente y los asistentes.

Su “cápsula de conocimiento” versó sobre:  “¿Cómo hacer efectiva la protección de datos personales en tu empresa? y el nuevo Reglamento europeo de protección de datos” y debemos destacar que el feedback acontecido fue de lo más interesante, productivo y resolutivo.

Un formato a repetir.

12 PREGUNTAS…. 12 RESPUESTAS (SOBRE EL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS)

El Reglamento General de Protección de Datos entró en vigor el 25 de mayo de 2016; y, como toda novedad, genera preguntas.

12 de ellas se las ha planteado la propia Agencia Española de Protección  de Datos, proporcionando a su vez las respuestas, para facilitar la comprensión del nuevo marco normativo a los ciudadanos y ayudar a las organizaciones a adaptarse a los cambios que incorpora y cumplir así con sus obligaciones.

1. La entrada en vigor del Reglamento, ¿supone que ya no se aplica la Ley Orgánica de Protección de Datos española?

No. El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables.

2. ¿Cuál es, entonces, el significado de que el Reglamento haya entrado en vigor?

El periodo de dos años hasta la aplicación del Reglamento tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones Europeas y también las organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.

En esos dos años, por ejemplo, los Estados miembros pueden adoptar o iniciar la elaboración de determinadas normas que sean necesarias para permitir o facilitar la aplicación del Reglamento. Esas normas no pueden ser contrarias a las disposiciones de la vigente Directiva ni tampoco ir más allá de los poderes de actuación normativa que el propio Reglamento prevé de forma explícita o implícita.

3. ¿A qué empresas u organizaciones se aplica?

El Reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.

4. ¿Qué implica para los ciudadanos que el Reglamento amplíe el ámbito de aplicación territorial?

Esta novedad supone una garantía adicional a los ciudadanos europeos. En la actualidad, para tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de internet.

Ello permite que el Reglamento sea aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea.

 5. ¿Qué nuevas herramientas de control de sus datos poseen los ciudadanos?

El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.

 6. ¿A qué edad pueden los menores prestar su consentimiento para el tratamiento de sus datos personales?

El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores.

En el caso de las empresas que recopilen datos personales, es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.

 7. ¿Qué implica la responsabilidad activa recogida en el Reglamento?

Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Para ello, el Reglamento prevé una batería completa de medidas:

 – Protección de datos desde el diseño

– Protección de datos por defecto

– Medidas de seguridad

– Mantenimiento de un registro de tratamientos

– Realización de evaluaciones de impacto sobre la protección de datos

– Nombramiento de un delegado de protección de datos

– Notificación de violaciones de la seguridad de los datos

– Promoción de códigos de conducta y esquemas de certificación.

8. Entonces, ¿supone una mayor carga de obligaciones para las empresas?

El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.

En primer lugar, algunas de las medidas que introduce el Reglamento son una continuación o reemplazan a otras ya existentes, como es el caso de las medidas de seguridad o de la obligación de documentación y, hasta cierto punto, la evaluación de impacto y la consulta a Autoridades de supervisión.

Otras constituyen la formalización en una norma legal de prácticas ya muy extendidas en las empresas o que, en todo caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos, como pueden ser la privacidad desde el diseño y por defecto, la evaluación de impacto sobre protección de datos en ciertos casos o la existencia de un delegado de protección de datos.

En todos los casos, el Reglamento prevé que la obligación de estas medidas, o el modo en que se apliquen, dependerá de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos.

Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser operaciones muy simples en entidades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo, datos sensibles, u operaciones más complejas en entidades que desarrollen muchos tratamientos, que afecten a gran cantidad de interesados o que por sus características requieren de una valoración cuidadosa de sus riesgos.

Las Autoridades de protección de datos europeas de forma colectiva, y la Agencia Española individualmente, estamos ya trabajando en el desarrollo de herramientas que faciliten la identificación y valoración de riesgos y en recomendaciones sobre la aplicación de medidas, especialmente en relación con pymes que realizan los tratamientos de datos más habituales en la gestión empresarial.

9. ¿Cambia la forma en la que hay que obtener el consentimiento?

Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es “inequívoco”, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.

Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.

Además, el Reglamento prevé que el consentimiento haya de ser “explícito” en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

10. ¿Deben las empresas revisar sus avisos de privacidad?

Con carácter general, sí. El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos. Si creen que hay un problema con la forma en que están manejando sus datos. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.

11. ¿En qué consiste el sistema de “ventanilla única”?

Este sistema está pensado para que los responsables establecidos en varios Estados miembros o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE tengan una única Autoridad de protección de datos como interlocutora. También implica que cada Autoridad de protección de datos europea, en  lugar de analizar una denuncia o autorizar un tratamiento a nivel estrictamente nacional, a partir de la aplicación del Reglamento valorará si el supuesto tiene carácter transfronterizo, en cuyo caso habrá que abrir un procedimiento de cooperación entre todas las Autoridades afectadas buscando una solución aceptable para todas ellas. Si hay discrepancias insalvables, el caso puede elevarse al Comité Europeo de Protección de Datos, un organismo de la Unión integrado por los directores de todas las Autoridades de protección de datos de la Unión. Ese Comité resolverá la controversia mediante decisiones vinculantes para las Autoridades implicadas.

Este nuevo sistema no supone que los ciudadanos tengan que relacionarse con varias Autoridades o con Autoridades distintas de la del Estado donde residan. Siempre pueden plantear sus reclamaciones o denuncias ante su propia Autoridad nacional (en el caso español, la Agencia Española de Protección de Datos). La gestión será realizada por esa Autoridad, que será también responsable de informar al interesado del resultado final de su reclamación o denuncia.

La ventanilla única, en todo caso, no afectará a empresas que sólo estén en un Estado miembro y que realicen tratamientos que afecten sólo a interesados en ese Estado.

12. ¿Tienen las empresas que empezar a aplicar ya las medidas contempladas en el Reglamento?

No. El Reglamento está en vigor, pero no será aplicable hasta 2018.

Sin embargo, puede ser útil para las organizaciones que tratan datos empezar ya a valorar la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España.

Por ejemplo, las organizaciones deben tener en cuenta que a partir de mayo de 2018 deberán realizar análisis de riesgo de sus tratamientos y que puede ser útil para ellas empezar desde ahora a identificar el tipo de tratamientos que realizan, el grado de complejidad del análisis que deberán llevar a cabo, etc. En esta tarea podrían utilizar las herramientas y recursos que paulatinamente vayan desarrollando las Autoridades de protección de datos.

Igualmente, nada impide que las organizaciones comiencen a planificar o a establecer el registro de tratamientos de datos o a implantar las evaluaciones de impacto o cualquiera otra de las medidas previstas.

Del mismo modo, las organizaciones podrían comenzar a diseñar e implantar los procedimientos para notificar adecuadamente a las Autoridades de protección de datos o a los interesados las quiebras de seguridad que pudieran producirse.

En general, las organizaciones que tratan datos personales deberían comenzar a preparar la aplicación de estas medidas, así como de otras modificaciones prácticas derivadas del Reglamento. Por ejemplo, el Reglamento exige que los responsables de tratamiento faciliten a los interesados el ejercicio de sus derechos. Aunque la interpretación de “facilitar” pueda variar dependiendo de los casos, incluye en todos ellos algún tipo de actuación positiva por parte de los responsables para hacer más accesibles y sencillas las vías para el ejercicio de derechos.

La ventaja de una pronta aplicación es que permitirá detectar dificultades, insuficiencias o errores en una etapa en que estas medidas no son obligatorias y, en consecuencia, su corrección o eficacia no estarían sometidas a supervisión. Ello permitiría corregir errores para el momento en que el Reglamento sea de aplicación.

YA TENEMOS FECHA…

REGLAMENTO (UE)  2016/679  DEL PARLAMENTO EUROPEO Y DEL CONSEJO

Relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

Se aprobó el 14 de abril 2016 y se publicó en el Diario Oficial de la Unión Europea el pasado día 27 de abril.

El Reglamento entrará en vigor a los veinte días de su publicación y será aplicable a partir del 25 de mayo de 2018.

El Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS

Después de más de cuatro años de trabajos, el pleno del Parlamento Europeo aprobó el pasado 14 de abril de 2016, el Reglamento general de protección de datos, cuyo objetivo es un único marco normativo para todos los estados de la UE, adaptado al entorno digital, y que reemplaza a la obsoleta Directiva, ratificada en 1995.

El Reglamento entrará en vigor 20 días después de su publicación en el Diario Oficial de la UE. Sus disposiciones serán directamente aplicables en todos los Estados miembros dos años después de esta fecha, por tanto no será efectivo hasta 2018.

También se ha aprobado en esta misma fecha una Directiva sobre protección de datos de carácter personal tratados a efectos policiales y judiciales, que se aplicará al intercambio de datos transfronterizos dentro de la UE y establecerá estándares mínimos para el tratamiento de datos en cada país.

Por último, mencionar que otra de las medidas adoptadas por el Parlamento Europeo ha sido la creación de un registro europeo de datos de los pasajeros de transporte aéreo (PNR), que obligará a las compañías aéreas a entregar a las autoridades nacionales los datos de los pasajeros de sus rutas a terceros países con salida o llegada desde un Estado miembro, pero no las de los vuelos intracomunitarios.

Novedades del Reglamento general europeo de protección de datos

  • Se aplicará a responsables no establecidos en la UE, cuando las actividades de tratamiento de datos personales estén relacionadas con la oferta de bienes o servicios a interesados que residan en la UE.
  • El derecho al “olvido”, mediante la rectificación o supresión de datos personales.
  • La necesidad de “consentimiento claro y afirmativo” de la persona a la que concierne el tratamiento de sus datos personales.
  • La “portabilidad”, o el derecho a trasladar los datos a otro proveedor de servicios.
  • El derecho a ser informado si los datos personales han sido pirateados.
  • Lenguaje claro y comprensible sobre las cláusulas de privacidad.
  • Se exigen nuevas obligaciones a los responsables: “Privacidad por diseño” (impacto en la privacidad de cualquier nuevo sistema, proceso o servicio desde el inicio de su desarrollo), “Privacidad por defecto”  (sólo se deben recopilar y gestionar aquellos datos que sean estrictamente necesarios), “Análisis del impacto de la privacidad” (análisis de riesgos con el que se intenta identificar todos los posibles riesgos para la privacidad que puede implicar el nuevo proceso y a los que habrá que poner remedio).
  • Las entidades que traten datos personales a gran escala o que procesen datos personales sensibles deberán designar un DPO (Data Protection Officer).
  • Será obligatorio notificar a los reguladores los fallos de seguridad en el plazo de 72 horas desde que tengan conocimiento de los mismos y, en determinadas circunstancias, a los titulares de los datos.
  • Multas de hasta el 4% de la facturación global de las empresas en caso de infracción.

APROBADO EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS

Después de más de cuatro años de trabajos, el pleno del Parlamento Europeo aprobó ayer, 14 de abril, el Reglamento general de protección de datos, cuyo objetivo es garantizar unos estándares comunes, adaptados al entorno digital, y que reemplaza a la obsoleta directiva , ratificada en 1995. Entrará en vigor 20 días después de su publicación en el Diario Oficial de la UE y será de aplicación directa en todos los estados. Sus disposiciones serán directamente aplicables en todos los Estados miembros dos años después de esta fecha.

Es un paso definitivo para armonizar las normativas vigentes de los países de la UE, para devolver a los ciudadanos el control de sus datos personales y para garantizar unos elevados estándares de protección, confianza y seguridad jurídica.

LA REFORMA EUROPEA DE PROTECCIÓN DE DATOS: SITUACIÓN ACTUAL (SESIÓN INFORMATIVA EN EL ICAB)

En la sede del ICAB se impartió ayer una sesión informativa sobre cuál era la situación actual de la reforma europea de protección de datos, que inició su andadura en 2012.

Con una introducción previa al tema por parte de la Sra. M.Àngels Barbarà, Directora de l’Autoritat Catalana de Protecció de Dades (APDCAT), el Sr. Rafael García Gozalo, responsable del Área Internacional de la Agencia Española de Protección de Datos (AEPD) entró en materia sobre los

Aspectos centrales de la reforma europea de protección de datos

(imposible abarcarlos todos en una misma sesión).

Detallamos aquí algunos de los puntos expuestos:

-De entrada, cabe recordar que hay en escena tres actores: la Comisión Europea (COM), el Consejo de Europa (CE) y el Parlamento Europeo (PE), cada uno de ellos haciendo sus aportaciones y valoraciones.

-De cerrarse, según el compromiso adquirido entre las partes, en diciembre 2015, el ámbito de aplicación será en 2018.

-Se añaden a los derechos ARCO, dos más: a la “portabilidad” y “al olvido”.

-Intención clara de desaparición de cargas administrativas para las empresas.

-No está todavía clara la continuidad de la obligatoriedad de inscripción de ficheros.

-Se hace énfasis en la evaluación de riesgos en cuanto a medidas de seguridad.

-Reforzamiento de la colaboración/cooperación entre Agencias europeas.

-Régimen sancionador a nivel europeo.

-Se ha llegado ya a un acuerdo en el tema de las transferencias internacionales.

-Aunque se prevé difícil, Directiva y Reglamento deberían aprobarse a la vez, según PE y COM, no así para el CE.

-Se detectan en la Directiva muchas divergencias.

-Se sigue debatiendo sobre “qué es interés público”.

-Se sigue debatiendo sobre “qué es obligación legal”.

-Se establecen especificaciones para el sector público.

-El ámbito de aplicación en instituciones públicas provoca divergencias entre CE y PE.

-Existen divergencias entre los ámbitos de aplicación, Reglamento y Directiva.

-Régimen sancionador más laxo, sin aparente justificación.

-Directiva para los Cuerpos y Fuerzas de Seguridad del Estado.

-Determinar claramente los términos “base legal”, “finalidad” e “interés legítimo”.

-La base legal para archivística, científica y estadística es su finalidad, según el CE, aunque ofrece dudas (caso FB).

-Determinación de términos de consentimiento: “explícito” e  “inequívoco“; la inacción no vale.

-Responsabilidad activa. Prevención. La COM era más rígida, pero el CE se decanta por “enfoque del riesgo”.

-Cómo se mide el riesgo y cómo guiar a los responsables.

-Cuándo se estará en “riesgo alto” (problemas para las Pyme)

-Tema documentación: el CE exime a las Pyme… salvo excepciones por riesgo.

-Quiebras de seguridad: notificarlas todas (complicado), excepto si se han tomado medidas ulteriores.

-Códigos de conducta.

-DPO: la COM y PE abogan por la obligatoriedad; el CE, por la voluntariedad, salvo ley nacional.

-Art. 43 bis: conflictos a respuesta, o no, a terceros países.

-Ventanilla única europea para resolución de conflictos.

-Derecho de oposición incondicionado si se tratan los datos en “interés legítimo”.

-Las excepciones al art. 21.

-Más que régimen sancionador, se habla de “multas administrativas”, pero sin baremos previos: así, puedes ser sancionado a Cero € o hasta el 5% de la facturación de la sociedad… pero sin saber en base a qué, porque no hay tipificación de infracciones, ni establecimiento de éstas en leves, graves, muy graves (p.e.).

-Información a interesados; en el art. 9 se indica que los datos sensibles NO pueden ser tratados sin informar al interesado… salvo base legal. Además, cuando los datos los ha hecho “manifiestamente públicos” el propio interesado (incluso datos sensibles), éstos se pueden tratar sin informar.

-Cambio en las fuentes accesibles al público: lo es Internet y las Redes sociales.

En definitiva, una densa -pero muy amena por parte de Rafael García- sesión informativa sobre este asunto (en fase todavía de proyecto “a tres bandas”) al que le queda todavía un muy largo recorrido.