¿ Y después del 25 de mayo de 2018… qué?

Pasó, como pasa todo.

El 25 de mayo de 2018 pasó, causando a su paso un gran revuelo social, mediático y empresarial. Fue como un tsunami. Logró que hablar de privacidad, de proteger tus derechos, de conocerlos, de denunciar, del nuevo reglamento… fuera algo usual y cotidiano en prensa, radio, televisión, redes sociales y en charlas de amigos no necesariamente relacionados con el derecho.

Hoy, a poco más de un mes de cumplirse el primer aniversario de que fuera de plena aplicación “…el Reglamento Europeo de protección de datos” (como de un modo familiar se le conocía) lo que cabe preguntarse es:

¿ Y después del 25 de mayo de 2018… qué ?

Porque la adecuación de las empresas al nuevo marco reglamentario europeo no era, ni es, una opción.

Pero a diferencia de un tsunami , que llega normalmente por sorpresa (casi sin avisar y sin darnos margen de reacción) arrasa y se va, el Reglamento (UE) 2016/679 llegó en 2016 precedido de muchos pequeños oleajes y, además, nos concedió una prórroga de dos años, para que sus efectos no pillaran por sorpresa a empresas y profesionales..

Todos sabemos ya lo que pasó: poca gente movió ficha, y a finales de abril-primeros de mayo todo fueron prisas para tratar de adecuarse al nuevo marco reglamentario, aderezadas con las dudas en su interpretación y aplicación, que la Agencia Española de Protección de Datos, l’Autoritat Catalana de Protecció de Dades y la Agencia Vasca de Protección de Datos se han ido esforzando en mitigar, con la publicación de distintas Guías, Prácticas, Listados de cumplimiento.

El Reglamento 2016/679 ha llegado para quedarse sin dejar, inicialmente al menos, ningún panorama desolador como no podía ser de otro modo en una normativa que lo que pretende es garantizar derechos. Pero, como los tsunami, sus efectos pueden llegar a ser devastadores para las empresas y/o profesionales que no hayan tomado las medidas oportunas para adecuarse a él.

Y con el Reglamento siendo ya de plena aplicación, en diciembre 2018 se publicó en España “la nueva LOPD”, que ahora recibe la extensión de “GDD” (garantía de los derechos digitales) y que lo que ha hecho ha sido adecuar nuestra LOPD al nuevo Reglamento Europeo. Es la LOPDGDD (Ley orgánica de protección de datos y garantía de los derechos digitales).

Delegado de protección de datos, consentimiento, derecho a la portabilidad y a la limitación del tratamiento, responsable de tratamiento, evaluación de impacto, análisis de riesgos. brechas de seguridad, responsabilidad proactiva, protecció de datos desde el diseño y por defecto… son algunos de los términos con los que debemos ya familiarizarnos e incorporarlos a nuestro día a día: en las empresas, no hay “uno que se encarga de lo de la protección de datos”. Es misión de toda empresa el hacer llegar a todos sus empleados la cultura de la privacidad.

Pronto llegará el nuevo 25 de mayo… ¿en qué situación se encuentra tu empresa?.

II – SOBRE EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

La mayor innovación -para los responsables de tratamientos- son dos elementos de carácter general, que se proyectan sobre todas las obligaciones de las empresas:

  • El principio de responsabilidad proactiva
  • El enfoque del riesgo

El primero se describe como “la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al Reglamento

Así, debe analizar

  • qué datos tratan,
  • con qué finalidades lo hacen y
  • qué tipo de operaciones de tratamiento llevan a cabo,

y determinar explícitamente la forma en que aplicaran las medidas previstas en el RGPD y asegurándose de que éstas sean las adecuadas (…y que puedan demostrarlo). Se exige una actitud consciente, diligente y proactiva de las empresas en todos los tratamientos de datos personales que lleven a cabo.

En cuanto al enfoque del riesgo, las medidas dirigidas a garantizar el cumplimiento del RGPD deben tener en cuenta la naturaleza, el ámbito, el contexto y las finalidades del tratamiento, así como el riesgo para los derechos y libertades de las personas. Así, algunas de las medidas que establece el RGPD se aplicarán sólo cuando haya un alto riesgo para los derechos y libertades; otras, en función del nivel y tipo de riesgo que los tratamientos presenten.

(Fuente: AEPD)

I – SOBRE EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

Entró en vigor en mayo de 2016, y ya será de plena aplicación en menos de dos meses: el 25 de mayo de 2018.

El Reglamento General de Protección de Datos (RGPD) es una norma directamente aplicable; los responsables de tratamientos deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales. La ley que sustituirá a nuestra actual LOPD sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.

Las empresas que en la actualidad ya cumplen con la LOPD tienen una buena base de partida para adecuarse correctamente al RGPD, aunque éste modifica algunos aspectos del régimen actual y contiene nueva obligaciones.

(Fuente: AEPD)

SI HOY FUERA 26 DE MAYO EN LUGAR DE 26 DE FEBRERO…

 

Si hoy fuera 26 de mayo, en lugar de 26 de febrero, llevaríamos ya un día en el que sería de plena aplicación el REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS.

Después de que hubieran pasado ya dos años desde su entrada en vigor ¿…en qué situación se encontraría su empresa, a nivel de cumplimiento normativo del REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS, si hoy fuera 26 de mayo de 2018?.

Pero hoy no es 26 de mayo.

Si su respuesta ha sido “… todavía no he hecho nada”, su empresa todavía está a tiempo de “ponerse al día” …aunque cada vez quedan menos días.

Contacte con nosotros.

¿ EVALUACIÓN DE IMPACTO ?

El Reglamento General de Protección de Datos (RGPD) contempla la “Evaluación de Impacto sobre la Protección de Datos”.

¿De qué estamos hablando?.

En aquellos supuestos de:

  • Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados, o que les afecten significativamente de modo similar.
  • Tratamientos a gran escala (*) de datos sensibles.
  • Observación sistemática a gran escala de una zona de acceso público

los responsables del tratamiento (el RGPD no hace mención a “fichero”) deberán realizar un Evaluación de impacto sobre la Protección de Datos (EIPD) con carácter previo a la puesta en marcha de estos tratamientos que, probablemente, conllevan un alto riesgo para los derechos y libertades de los interesados; y aunque el RGPD establece un contenido mínimo en las EIPD, no contempla metodología alguna.

Cuando se identifique un alto riesgo que no pueda mitigarse por medios razonables en términos de tecnología disponible y costes de aplicación, los responsables del tratamiento deberán consultar a la autoridad de protección de datos competente que, incluso, podría llegar a prohibir la operación de tratamiento.

Las autoridades están obligadas a elaborar listas adicionales de tratamientos de datos en los que habrá que hacer una EIPD, así como también está previsto que elaboren listas de aquellos tratamientos que no la requieran.  El hecho de que existan estas dos listas no exime al responsable del tratamiento de efectuar un análisis de riesgo.

Una EIPD puede realizarse para varios tratamientos similares que conlleven riesgos similares.

Cuando las condiciones del tratamiento cambien, o varíen los riesgos asociados a él, es posible que sea necesario una nueva EIPD.

(*)  Según el Grupo del artículo 29, el concepto “gran escala”: 

  • Dependerá del número de interesados afectados, en términos absolutos y/o como proporción de una determinada población.
  • Del volumen de datos y la variedad de datos tratados.
  • De la duración o permanencia de la actividad de tratamiento.
  • De la extensión geográfica de la actividad del tratamiento.

EL REFRANERO POPULAR ES SABIO…

Y nos recuerda aquello de que “No dejes para mañana lo que puedas hacer hoy”.

Así que si tiene pensado adecuar a la normativa de protección de datos (LOPD) a su empresa -por ser ésta de reciente creación- o porque esta adecuación sigue siendo una de esas “asignaturas pendientes”, debe saber que la publicación y entrada en vigor el pasado mes de mayo del Reglamento general de protección de datos (RGPD), de ámbito europeo y que será de aplicación en mayo 2018, introduce cambios significativos en algunos aspectos.

Y uno de ellos es el del “consentimiento” del interesado para el tratamiento de sus datos.

El RGPD requiere que las personas cuyos datos se tratan presten su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que actualmente permite la normativa española. Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando los criterios fijados por el propio Reglamento.

Por tanto, el consentimiento debe ser expreso y no presunto (no puede ser que “si no dice que no, se entienda que es sí”). El nuevo RGPD prevé la obligatoriedad del “consentimiento en positivo” del titular de los datos, marcando una casilla o similar, para dar su conformidad.

Y cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquél consintió el tratamiento de sus datos personales.

No espere a Mayo de 2018 para adecuar -si fuera su caso- el redactado del aviso legal para la obtención del consentimiento para el tratamiento de datos: si lo hace así, aquellos datos obtenidos hasta esa fecha no serán válidos, al no respetar el criterio reglamentario.