17 Abr EL NUEVO REGLAMENTO DE PROTECCION DE DATOS ES DURO, ENTRA EN VIGOR EN UNAS SEMANAS Y CAMBIARÁ TU VIDA: RESUMEN DE LO QUE NOS LLEGA.
El RGPD, resumido
Las principales áreas del RGPD son las siguientes, más concretamente en relación a la directiva 95/46/CE de protección de datos de carácter personal.
Los derechos de las personas y cómo informar sobre los mismos
La norma vigente hoy para la protección de datos en la UE (directiva 95/46/CE) confiere a las personas físicas derechos sobre sus datos personales y detalla la información que aquellos deben recibir de las empresas, con inclusión de los fines que estas van a darles a esos datos. En muchos casos, esa comunicación consiste en declaraciones de privacidad o en notificaciones proporcionadas en una página web.
El RGPD aumenta la protección abundantemente, puesto que establece más derechos que, junto con los que ya había, deben comunicarse a los interesados. En concreto, a los interesados se les debe informar que tienen los siguientes derechos (la lista no es completa):
- A la queja ante las autoridades de control, como la Agencia Española de Protección de Datos
- A la retirada del consentimiento al tratamiento de sus datos personales
- Al acceso a sus datos personales, así como a su rectificación o supresión (“derecho al olvido”) por parte de la empresa y por terceros que hayan tenido acceso a ellos
- Al conocimiento de la existencia de cualquier tratamiento automatizado de los datos personales (incluida la elaboración de perfiles)
- A la oposición a ciertos tipos de tratamiento, como por ejemplo el marketing directo o las decisiones basadas únicamente en un tratamiento automatizado
- A ser informado de cuánto tiempo se conservarán los datos personales
- A conocer los datos de contacto de los delegados de protección de datos designados (más abajo se habla de ellos)
También, las personas físicas tienen el derecho a que, en su nombre, organizaciones sin ánimo de lucro ejerzan derechos y presenten reclamaciones (ONGs o Despachos de acción jurídica en defensas colectivas).
Consentimiento
A pesar de que las leyes de la UE siempre han requerido que el consentimiento de las personas para la recogida de sus datos sea libre, concreto e informado, el RGPD exige que sea confirmado mediante una declaración u otra acción afirmativa clara. O sea, las casillas ya marcadas en las páginas web, el silencio o la inacción del interesado después de leer una declaración de privacidad no constituyen consentimiento.
Además, el consentimiento no podrá ser genérico, de forma que un consentimiento concedido a una empresa por una persona para determinada gestión no podrá servir para otros tipos de tratamiento de datos personales. Para diferentes operaciones de tratamiento se necesitan consentimientos independientes.
Finalmente, no solo es forzoso informar a las personas de que tienen derecho a revocar su consentimiento en cualquier momento, sino que además debe ser tan fácil revocarlo como concederlo.
Los consentimientos de las personas que ya los hayan concedido tienen que revisarse para verificar que cumplen los requisitos del RGPD. Si en este tema hay conflictos o ambigüedades, las empresas deberán establecer una nueva plataforma legítima para el tratamiento de los datos personales (por ejemplo, si es necesario para la realización de un contrato), alcanzar un nuevo consentimiento o finalizar el tratamiento de dichos datos.
Derecho a la circulación o transferencia (portabilidad) de los datos personales
Las personas tienen a partir de ahora el derecho a mover, copiar o transferir sus datos personales de un lugar a otro, incluso a un competidor de la empresa a la que inicialmente los aportaron. Por ejemplo, si un interesado ha creado una lista de reproducción en un servicio de películas, libros o música y cambia de proveedor, puede llevársela consigo. Así pues, los datos personales deben tener un formato organizado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.
Ampliación del espacio de aplicación
En resumen, el RGPD hace responsable de los incumplimientos en la seguridad de los datos personales no solo a la empresa que los acumula, sino además a cualquier tercero que los procese en nombre de ella, bien sea otra empresa, un organismo o una persona física. Pero eso no implica que una empresa puede limitarse a transmitir los datos personales a un tercero y desentenderse. La empresa debe cerciorarse de que el tercero también cumpla el RGPD.
Además, el potencial ámbito territorial de aplicación se amplía más allá de la UE a cualquier empresa —o, nuevamente, a cualquier tercero que procese datos personales en su nombre— que proporcione bienes o servicios a personas físicas residentes en la UE o que controle el comportamiento de ellas. Hay que subrayar que es indiferente si se paga por los bienes o servicios o no; o sea que la aplicación del RGPD también afecta a organismos benéficos y a ONG´s.
Puesto que la UE es un socio comercial de la generalidad de los países, la extensión del espacio de aplicación del RGPD tiene alcances para incontables empresas de todo el mundo y, en la práctica, les exigirá cumplirlo si pretenden operar en los Estados miembros de la UE, bien directamente o bien suministrando servicio a otros.
Prueba de cumplimiento
Pero es que no es suficiente con cumplir simplemente el RGPD. Las empresas deben demostrar que lo cumplen según el requisito de «responsabilidad proactiva», que trae consigo cumplir ciertos deberes bastante costosos de mantenimiento de registros. Concretamente han de mantenerse registros que pormenoricen las actividades de tratamiento*, las peticiones de acceso de los interesados, las violaciones de seguridad, la forma de obtención de los consentimientos y las evaluaciones de impacto relativas a la protección de datos (véase más abajo).
Una vez más, este requisito también afecta a los terceros que procesen datos personales en nombre de una empresa, si bien la especificación no es tan detallada.
*Es aplicable a empresas que empleen a más de 250 personas, o a las que empleen a menos pero en las que el tratamiento probablemente suponga un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos, tales como información sobre la salud, la religión o la orientación sexual.
Privacidad de principio a fin
Durante toda la vida útil de los datos personales —desde su recopilación hasta el cese definitivo de su uso—deben tomarse medidas técnicas y organizativas conforme a las expectativas de privacidad de los interesados. Es lo que se designa como “protección de datos desde el diseño” e implica que el respeto a los parámetros de privacidad debe esta incorporado en todos los aspectos de ese tratamiento desde el diseño.
De igual forma, únicamente deberían tratarse los datos personales rigurosamente necesarios para el fin buscado, lo que se llama “protección de datos por defecto”.
En la práctica, la aplicación de la protección de datos desde el diseño y por defecto implicará la formación continua, la realización de auditorías constantes, la minimización de los datos recogidos, el acceso a los datos personales únicamente cuando sea necesario y la aplicación de las medidas de seguridad técnicas y organizativas apropiadas, tales como el uso generalizado de seudónimos o el cifrado.
Necesaria comunicación de las violaciones de la seguridad
En caso de producirse violaciones del RGPD, las empresas que recogen datos personales deben informar a las autoridades de control, la AEPD en España, en el plazo de 72 horas desde su conocimiento. Las terceras empresas que procesen los datos personales en nombre de otras empresas deben avisar a estas sin dilación indebida.
Si la violación conlleva un alto riesgo para los interesados, las empresas deben notificárselo a estos sin demora indebida.
Delegado de protección de datos (DPD)
Conforme al RGPD, las empresas y los terceros que procesen datos personales en nombre de estas deberán nombrar un delegado de protección de datos (DPD) siempre que:
(i) sean un organismo público; o
(ii) las actividades principales de la empresa o el tercero consistan en la observación de interesados a gran escala; o
(iii) sus actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales, tales como datos relativos a condenas o infracciones penales. El DPD debe tener conocimientos especializados de la legislación de protección de datos, aunque no es imprescindible que sea empleado directo, sino que puede desempeñar esta función por medio de un contrato de servicios. Los datos de contacto del DPD deben comunicarse a la autoridad de control, como la AEPD en España.
Sanciones
Las sanciones por el incumplimiento del RGPD son elevadísimas y podrían ascender al 4 % del volumen de negocio anual en todo el mundo de la empresa o a 20 millones de euros, la cuantía que sea superior. La sanción puede imponerse aunque no haya pérdida en sí de los datos. Hay que señalar que no existen exclusiones ni excepciones para las pequeñas empresas. Además, las personas físicas tienen la posibilidad de presentar una demanda colectiva solicitando una investigación formal si una empresa no cumple el RGPD.
Para más información:
http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php
Sorry, the comment form is closed at this time.