¡OJO AL DATO! Todas las claves sobre el Reglamento Europeo de Protección de Datos

El Reglamento Europeo de Protección de Datos (REPD), 2016/679, del Parlamento Europeo y del Consejo, referido a la protección de las personas físicas respecto al tratamiento de datos personales y a la libre circulación de los mismos, fue publicado en el Diario Oficial de la Unión Europea de 27 de abril de 2016 y es aplicable a partir del día 25 de mayo de 2018, en el ámbito de todos los países miembros de la Unión Europea.

En lo que respecta a España, con la finalidad de adaptar la legislación nacional a dicho Reglamento (REPD) se encuentra en trámite el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), que fue publicado en el Boletín Oficial de las Cortes Generales (Congresos de los Diputados) del día 24 de noviembre de 2017.

Las fundamentales INNOVACIONES que presenta el REPD son las referidas a las siguientes materias:

• Principio de Responsabilidad Activa (accountability), que, en palabras de la Agencia Española de Protección de Datos (AEPD), es aquel que obliga a los responsables y encargados del tratamiento a establecer mecanismos que les coloquen en posición de poder cumplir con la normativa vigente en la materia y además a estar en condiciones de poder demostrar que disponen de esos mecanismos y que su adopción se adecua a los riesgos que los tratamientos que realizan conllevan.

 

Como consecuencia de este principio, el responsable del tratamiento que detecte un quebranto de la seguridad de los datos personales está obligado a notificarlo de forma inmediata a la autoridad de control competente y, de ser posible, antes del transcurso de 72 horas después de que haya tenido constancia de ello.

 

El cambio en el sistema de responsabilidad activa (accountability) correlaciona con el régimen sancionador previsto en el REPD, de modo que las multas por infracción de las disposiciones en materia de protección de datos pueden llegar a los 10 millones de euros por el incumplimiento de los requisitos legales básicos y a 20 millones de euros para infracciones al nuevo marco de protección al derecho de carácter personal y todo ello al margen de la responsabilidad civil pertinente, que se sumaría a la sanción administrativa.

 

• Consentimiento para tratar de datos personales, en virtud del cual se obliga a que el consentimiento para tratar datos personales deberá ser otorgado mediante una manifestación de voluntad libre, especifica, informada e inequívoca. El interesado debe aceptar el tratamiento de los datos personales que le conciernen mediante una declaración o una clara acción afirmativa (artículo 4.11 REPD).

 

Quiere decirse que a partir de la aplicación del REPD no bastará como hasta ahora con el consentimiento tácito, sino que será necesario que se realice de forma expresa.

Y en este orden de cosas, cuando los datos puedan ser considerados como de categoría especial, entre los que se encuentran los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical; así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud, o datos relativos a la vida sexual o a las orientaciones sexuales de una persona física, se precisará un “consentimiento explícito”; de manera que la declaración se refiera de forma concreta al consentimiento y tratamiento al que se dirige (artículo 9 REPD).

 

• Derecho a la portabilidad, que supone que el interesado tiene derecho a recibir los datos personales que le incumban y que haya facilitado a un responsable del tratamiento, en un formato estructurado y de uso común y de lectura mecánica, y a transmitirlos a otro responsable del tratamiento, siempre que sea técnicamente posible y sin que haya nada que se lo impida, excepto que existan exigencias de cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

 

• Derecho al olvido (artículo 17 REPD), por el cual el interesado puede obtener, sin dilación indebida, del responsable del tratamiento, la supresión de los datos personales que le conciernen, que habrán de ser igualmente suprimidos a la mayor brevedad; en las siguientes circunstancias: por resultar innecesarios; por retirada del consentimiento en que se basa el tratamiento; por oposición al mismo; en el supuesto de que los datos hayan sido tratados ilícitamente; deban suprimirse en cumplimiento de una obligación legal o  se refieran a la oferta directa a niños; excepción hecha de cuando el tratamiento resulte necesario para el ejercicio del derecho a la libertad de expresión e información; venga así impuesto por el cumplimiento de una obligación legal o para el cumplimiento de una misión realizada en interés público.

Todo lo anterior debe enfocarse desde la perspectiva de que el derecho fundamental a la protección de datos no es de carácter absoluto, sino que siendo su ultima finalidad la de proteger los datos personales frente a intromisiones o violaciones ilegítimas de la intimidad, debe conceptuarse en relación con la función social y con el mantenimiento del equilibrio con otros derechos fundamentales, atendiendo al principio de proporcionalidad.

El objeto del REPD viene definido en su artículo 1, referido al establecimiento de las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de los mismos, como así de los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

En lo que se refiere al ámbito de aplicación material, el REDP, artículo 2, se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. Se excluyen de dicho ámbito los tratamientos de datos policiales y judiciales.

En el ámbito personal, en cuanto a los datos de personas fallecidas el REDP no resulta de aplicación y los Estados miembros son competentes para establecer normas relativas al tratamiento de los datos personales de estas.

El Proyecto de Reforma de LOPD regula el acceso a los datos de personas fallecidas por parte de sus herederos tendiendo en cuenta las instrucciones aportadas por aquellas, así como en cuanto a las instrucciones que se encuentren en poder del prestador de servicios de la sociedad de la información.

Puede entenderse que el REPD no excluye de su ámbito de aplicación los datos de contactos de personas jurídicas, aunque el tratamiento de los mismos debe encontrar su consideración en la ponderación de intereses y principio de proporcionalidad, artículo 6.1.f) del REPD, y siempre que se consideren los mínimos datos imprescindibles de contacto, con fines de mantenimiento de relaciones de cualquier tipo, artículo 12 REPD.

En todo caso, el tratamiento de datos personales precisa de una base jurídica que lo valide. Así, el artículo 6 REPD previene que se necesita de una de las siguientes condiciones: el consentimiento del interesado; la existencia de una relación contractual; de un interés legítimo del responsable; la justificación en una necesidad vital del interesado y, en su caso, la existencia que se derive del cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.

El consentimiento del interesado viene regulado en los artículos 7 a 11, ambos inclusive, del REPD, de modo, que como antes se dice, ha de ser prestado mediante una acción positiva y expresa del interesado, en base a la libertad, la información, la especificidad y la univocidad, con la condición de que en todo caso el responsable deberá ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales.

En este orden de cosas, el interesado tiene derecho a retirar su consentimiento en cualquier momento, de lo cual habrá de ser cumplidamente informado. De forma. que la Ley utiliza el paradigma: “Será tan fácil retirar el consentimiento como darlo”.

En tal sentido, el Proyecto de Reforma de la LOPD regula el ejercicio de los derechos en cuanto a la rectificación, supresión, delimitación del tratamiento y portabilidad.

La edad en que los menores pueden consentir el tratamiento de sus datos en internet viene fijada por el Reglamento en los 16 años. Sin perjuicio de que se establece que los Estados miembros podrán determinar por Ley una edad inferior a tales fines, siempre con el límite de los 13 años. De este modo el Proyecto de Reforma de la LOPD señala el limite de edad para prestar el consentimiento en 13 años. Aunque se ha de tener en cuenta que cuando el niño es menor de 16 años, el tratamiento de sus datos únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño y solo en la medida en que se dio o autorizó.

La información viene configurada como un derecho de los interesados, regulado en los artículos 12, 13 y 14 del REPD. Es preceptivo que los responsables de tratamientos actualicen las advertencias o políticas de privacidad y con tal fin el REPD exige la necesidad de explicar con un lenguaje sencillo y claro la base legal para el tratamiento de los datos, los periodos de retención de los mismos y que los interesados puedan reclamar ante la autoridad de protección de datos.  La configuración predefinida de los mecanismos de recogida de los datos personales solo debe recopilar aquellos que sean estrictamente necesarios, como manera de configurar y limitar la plasmación de una faceta del principio de responsabilidad activa.

El REPD establece una serie de medidas de seguridad que deben ser adecuadas al riesgo que tenga la organización, debiendo implementarse en consideración a determinados parámetros, entre los que son de destacar los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.

En este aspecto, se trata también de la seudonimización consistente en la sustitución de un atributo por otro en un registro y en el cifrado de datos personales en cuanto a la aplicación de técnicas que permitan que un mensaje solo sea entendible por el destinatario del mismo.

Complementan dichas medidas de seguridad las garantías de confidencialidad, integridad y corrección de la información; disponibilidad de la misma para su acceso permanente a todos aquellos que estén autorizados y la resiliencia, que en los sistemas tecnológicos se entiende como la capacidad de soportar y recuperarse ante quiebras o estragos, con el objeto de contar con la respuesta de poder reestablecer la disponibilidad y el acceso a los datos de forma rápida en caso de incidentes.

Por último, en lo que a la seguridad del tratamiento se refiere, se prevé la implantación de un proceso de verificación, evaluación y valoración de las medidas técnicas y organizativas para garantizarla.

Con carácter paralelo, los responsables y encargados están obligados en determinados supuestos a mantener un registro de las actividades de tratamiento en los casos de empresas que empleen a más de 250 personas o que, de cualquier modo, el tratamiento pueda suponer un riesgo para los derechos y libertades de los interesados o se realice respecto a las categorías especiales de datos personales.

En idéntica línea, se ha previsto por el Proyecto de Reforma de la LOPD, incidiendo en la obligación del responsable de realizar de forma pública por medios electrónicos un inventario de su actividad de tratamiento.

El REPD establece la obligatoriedad de la realización de evaluaciones de impacto en determinados supuestos: cuando se entrañe un alto riesgo para la libertades y derechos de las personas físicas; si se realiza una evaluación sistemática y exhaustiva de aspectos personales de personas físicas; en el tratamiento a gran escala de las categorías especiales de datos y en los casos de observación sistemática a gran escala de una zona de acceso público.

Merece especial atención como novedad implantada por el REPD, artículos 37, 38 y 39, la institución del DELEGADO DE PROTECCION DE DATOS o DPO (Data Protección Officer).

El REPD exige contar en una organización con un DPO cuando el tratamiento corresponda a una entidad publica (excepto Juzgados y Tribunales) y en el supuesto de entidades de naturaleza privada que realicen tratamientos de datos especiales a gran escala; atendiendo a su naturaleza, alcances y fines; o en función de las categorías especiales de datos que se tratan.

En este aspecto, el Proyecto de Reforma de la LOPD declara obligatoria la figura del DPO, entre otros, a compañías aseguradoras, distribuidores y comercializadores de energía eléctrica, o gas natural; entidades responsables de información crediticia; centros sanitarios; centros docentes que ofrezcan enseñanzas regladas y universidades; colegios profesionales, etc.

[fusion_builder_container hundred_percent=»yes» overflow=»visible»][fusion_builder_row][fusion_builder_column type=»1_1″ background_position=»left top» background_color=»» border_size=»» border_color=»» border_style=»solid» spacing=»yes» background_image=»» background_repeat=»no-repeat» padding=»» margin_top=»0px» margin_bottom=»0px» class=»» id=»» animation_type=»» animation_speed=»0.3″ animation_direction=»left» hide_on_mobile=»no» center_content=»no» min_height=»none»][Enlace al documento oficial del Reglamento].[/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]