¿Qué debe saber sobre la RGPD?

RGPD

INTRODUCCION A LA PROTECCION DE DATOS

Objeto
El RGPD tiene por objeto:
  • Establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos
  • Proteger los derechos y libertades fundamentales de las personas físicas y en particular, su derecho a la protección de los datos personales
  • La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
Legislación
LEGISLACIÓN APLICABLE
  • Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas, en lo que respecta a tratamientos de datos personales y a la libre circulación de datos.
  • Ley Orgánica 15/99, de 13 de diciembre, de Protección de Datos de Carácter Personal.
  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Vigente y de obligado cumplimiento a partir del 25 de mayo de 2018.
  • Y PENDIENTE DE APROBACION: El pasado 10 de noviembre, el Gobierno aprobó el proyecto de la nueva Ley Orgánica de Protección de Datos (LOPD), que fue remitido al Congreso de los Diputados.
ÁMBITO DE APLICACIÓN
  • El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un tratamiento de datos.
Definiciones Principales
  • Datos personales: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona
  • Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
  • Fichero: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica
  • Responsable del tratamiento o responsable: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento
  • Encargado del tratamiento o Encargado: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;
¿A quién afecta?
Cabe señalar que al 100% de las empresas, asociaciones, fundaciones, comunidades de vecinos, federaciones, profesionales (autónomos)… en definitiva cualquier entidad jurídica que recabe, trate o monitorice datos personales en el desarrollo de su actividad, que opere en el espacio de la Unión Europea, estén establecidos en esta o no.

PRINCIPALES NOVEDADES DEL RGPD vs.LOPD

Cambios en la obtención del consentimiento para el tratamiento de datos

El Reglamento General de Protección de Datos (GDPR) elimina la posibilidad de realizar tratamientos de datos en base a consentimientos tácitos. Ahora será obligatoria una declaración del interesado o una acción positiva que manifieste la conformidad y voluntad de llevar a cabo el tratamiento de datos por parte del afectado. Por lo tanto, las empresas deben revisar aquellos consentimientos obtenidos con anterioridad y verificar si cumplen con las nuevas exigencias del RGPD, y, en su caso, recabar el consentimiento expreso de aquellos que fueron obtenidos mediante el silencio o la inacción de los afectados.

Cambios en el deber de informar
Siempre que se recogen datos personales, hasta ahora, existía la obligación de informar del fichero al que iban a ser incorporados, la identidad del responsable del tratamiento, la finalidad de la recogida de los datos, si se realizaban cesiones de los mismos, así como los derechos de los afectados (derechos ARCO). Con el nuevo RGPD, se incrementan los requisitos en cuanto al deber de informar a las personas interesadas, debiéndose indicar además las siguientes cuestiones:
  • La base legal sobre la cual se legitima el tratamiento de los datos.
  • Los datos del contacto del Delegado de Protección de Datos (cuando exista).
  • El plazo y criterios de conservación de la información.
  • La previsión de transferencias internacionales. - La autoridad de control (La Agencia Española de Protección de Datos).
  • El tratamiento automatizado o elaboración de perfiles.
  • Los derechos de los afectados y forma de ejercicio (acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos, oposición, a no ser objeto de decisiones individuales y automatizadas).
Por ello, todas las empresas deberán revisar sus formularios de recogida de consentimiento (tanto online como offline) e incluir en los mismos, las cuestiones indicadas, y ello antes de que el RGPD resulte de plena aplicación.
Registro de Actividades del Tratamiento
Es una de las novedades del RGPD; las empresas deben de empezar a identificar con precisión los tratamiento y flujos de datos que la compañía lleva acabo y disponer para ello de un registro interno que contenga la información detallada sobre los tratamientos que se realizan y el grado de cumplimiento de la normativa. Esta información deberá ser puesta a disposición de la Autoridad de Control cuando sea requerida. El Registro de Actividades permitirá además de cumplir con la normativa, poder disponer de un control efectivo sobre los datos personales tratados, así como detectar con mayor facilidad los posibles riesgos que existan durante el tratamiento. A pesar de que el RGPD no establece niveles de seguridad como lo hacía nuestra Ley Orgánica de Protección de Datos, sí que indica que en los casos en los que el tratamiento conlleve un alto riesgo para los derechos y libertades de los interesados (por ejemplo: tratamientos de datos sensibles a gran escala, tratamientos que supongan una evaluación sistemática de aspectos personales, análisis de perfiles, etc. y otros que determinará la Agencia Española de Protección de Datos) la empresa deberá llevar a cabo una Evaluación de Impacto. El resultado final de la Evaluación de Impacto debe quedar acreditado mediante un informe que recoja las características del tratamiento evaluado y las decisiones tomadas para mitigar o minimizar los riesgos.
Contratos con los encargados del tratamiento

Todos los contratos con los encargados del tratamiento (gestores, informáticos externos, empresas de marketing, etc.), se deberán de actualizar y se deberán detallar las obligaciones de los encargados, evaluando de nuevo las medidas de seguridad que se han de aplicar al tratamiento de los datos personales (en función a lo que resulte de la evaluación de impacto de riesgos).

Análisis de Riesgos

Analizar los riesgos implica hacer un estudio cualitativo de las causas, amenazas y daños o consecuencias que se pueden producir. Se trata de una especie de análisis DAFO que, aplicado en las empresas, permite determinar las características contenidas en el ejercicio de estas empresas para el derecho fundamental a la protección de datos de los afectados.

El objetivo es que, tras este análisis, se puedan afrontar los riesgos, así como limitarlos o eliminarlos. Se trata de una herramienta de gestión de estudios de seguridad muy útil a la hora de identificar los riesgos. Para su aplicación, la Agencia

Española de Protección de Datos (AEPD) ha establecido minuciosamente los pasos para realizar el Análisis de Riesgos

Evaluación de impacto de protección de datos (EIPD)

Es una herramienta con carácter preventivo que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. En la práctica, la EIPD permite determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable.

 

El Artículo 35 del RGPD establece que ante la probabilidad de que un tratamiento “entrañe un alto riesgo para los derechos y libertades de las personas físicas” será necesario llevar a cabo una EIPD antes de la puesta en marcha del tratamiento. Esta obligación está alineada con el principio de privacidad que tiene como objetivo analizar un tratamiento desde su fase de diseño y garantizar una adecuada gestión de los riesgos, además de cumplir con los principios de necesidad y proporcionalidad.

A la hora de realizar una EIPD, se debe disponer de una metodología que considere los requerimientos exigidos por el RGPD en su artículo 35.7, donde se establece que la EIPD deberá incluir como mínimo:

  • Una descripción sistemática de la actividad de tratamiento previstas.
  • Una evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad.
  • Una evaluación de los riesgos.
  • Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales.

Diagrama de flujo a seguir a la hora de hacer una EIPD:

 

Delegado de Protección de Datos

La figura del Delegado de Protección de Datos, que asumirá las funciones de coordinar y controlar el cumplimiento de las políticas de protección de datos de las empresas y organizaciones.

La figura del Delegado de Protección de Datos será necesaria en las entidades y organismos públicos, así como en las empresas privadas que realicen tratamientos de datos que supongan una observación sistemática y habitual de datos a gran escala o cuando realicen tratamientos a gran escala de datos especialmente sensibles.

Según el anteproyecto de la Ley Española, podrían considerarse incluidas en estos criterios, entre otras:

  • Entidades aseguradoras y reaseguradoras.
  • Distribuidores y comercializadores de energía eléctrica o gas natural.
  • Entidades responsables de sistemas de información crediticia.
  • Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles.
  • Centros sanitarios.
  • Centros docentes que ofrezcan enseñanzas regladas, universidades, etc.
  • Colegios profesionales.
  • Entidades dedicadas al juego online.

En determinadas ocasiones, incluso cuando la organización no esté obligada formalmente a disponer de un Delegado de Protección de Datos, en empresas de cierto tamaño puede ser recomendable disponer del mismo a fin de mejorar en el cumplimiento de la normativa de protección de datos y minimizar los riesgos del tratamiento, ya que el Delegado de Protección de Datos tiene como objetivos la información, la supervisión del cumplimiento, el asesoramiento y la cooperación respecto del cumplimiento de la normativa de Protección de Datos.

Sin duda disponer de un Delegado de Protección de Datos le ofrece a la empresa un importante distintivo de calidad e incluso una ventaja competitiva.

Nuevos derechos para los ciudadanos
1 Derecho de acceso Tienes derecho a que te informen de lo siguiente:
  • Copia de los datos personales objeto de tratamiento.
  • Los fines del tratamiento, categorías de datos personales que se traten y de las posibles comunicaciones de datos y sus destinatarios. De ser posible, el plazo de conservación de tus datos. De no serlo, los criterios para determinar este plazo.
  • Del derecho a solicitar la rectificación o supresión de los datos, la limitación al tratamiento u oponerse al mismo.
  • Del derecho a presentar una reclamación ante la Autoridad de Control.
  • Si se produce una transferencia internacional de datos, recibir infor­mación de las garantías adecuadas.
2 Derecho de rectificación Tienes derecho, además de rectificar los datos inexactos, a que se completen los datos personales incompletos, inclusive mediante una declaración adicional.
3 Derecho de supresión (el "Derecho al olvido") Con este derecho podrás solicitar:
  • La supresión de los datos personales sin dilación indebida cuando concurra alguno de los supuestos contemplados. Por ejemplo, trata­miento ilícito de datos, o cuando haya desaparecido la finalidad que motivó el tratamiento o recogida.
  • No obstante, se regulan una serie de excepciones en las que no procederá este derecho. Por ejemplo, cuando deba prevalecer el derecho a la libertad de expresión e información.
  • Solicitar al responsable que suspenda el tratamiento de datos cuan­do:
    • Se impugne la exactitud de los datos, mientras se verifica dicha exactitud por el responsable.
    • El interesado ha ejercitado su derecho de oposición al tratamiento de datos, mientras se verifica si los motivos legítimos del responsa­ble prevalecen sobre el interesado.
  • Solicitar al responsable que conserve tus datos personales cuando:
    • El tratamiento de datos sea ilícito y el interesado se oponga a la supresión de sus datos y solicite en su lugar la limitación de su uso
    • El responsable ya no necesita los datos para los fines del tratamien­to, pero el interesado si los necesite para la formulación, ejercicio o defensa de reclamaciones.
4 Derecho a la portabilidad de los datos Podrás recibir tus datos personales facilitados en un formato estruc­turado, de uso común y lectura mecánica, y poder transmitirlos a otro responsable, siempre que sea técnicamente posible.
5 Derecho de oposición
6 Derecho a no ser objeto de decisiones individualizadas Tienes derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o te afecte. Se exceptúa lo anterior cuando:
  • Sea necesario para la celebración o ejecución de un contrato.
  • Esté permitido por el Derecho de la UE o de los Estados miembros, con medidas adecuadas para salvaguardar los derechos y libertades del titular de los datos.
  • Exista consentimiento explícito del titular de los datos