miércoles, 17 de enero de 2018

25 de mayo de 2018



En esta fecha comenzará a aplicarse el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, que entró en vigor el 25 de mayo de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y, por el que se deroga la Directiva 95/46/CE.

Quedan sólo cuatro meses para  que la Directiva 95/46, así como las normas nacionales que la trasponen, entre ellas la española, sigan siendo plenamente válidas y aplicables.

Durante  este período o con posterioridad al 25 de mayo, España y los restantes Estados miembros de la Unión Europea pueden elaborar las normas internas que estimen necesarias para facilitar la aplicación del Reglamento, sometiéndose siempre a los cauces discrecionales que éste establece.

Ha habido, por tanto, un  período de dos años desde la entrada en vigor del Reglamento hasta la fecha de su aplicación, el 25 de mayo de 2018,  para que las organizaciones que tratan datos,  los Estados de la Unión Europea y las Instituciones Europeas se preparen y se adapten al mismo.

El objetivo de esta entrada es un recordatorio del trabajo que debería estar realizándose por las organizaciones que tratan datos, valorando y preparando la implantación de las medidas previstas en el nuevo Reglamento, entre las que destacan las siguientes:
  • Introducción del análisis de riesgos en el tratamientos de los datos
  • Política de responsabilidad activa basada en la prevención, por parte de las organizaciones que tratan datos
  • Implantación de las evaluaciones de impacto
  • Planificación y establecimiento del nuevo registro de tratamientos de datos
  • Procedimiento para notificar adecuadamente a las Autoridades de protección de datos o a los interesados, las quiebras de seguridad que pudieran producirse
  • Mejora a los interesados del ejercicio de sus derechos, haciendo más accesibles y sencillas las vías para el ejercicio de los mismos
  • Revisión de los avisos de privacidad, incluyendo en la información que se proporciona a los interesados una serie de cuestiones, que con la Directiva y con nuestra actual Ley de protección de datos no son necesariamente obligatorias en la actualidad
  • Estudio y planificación de los cambio necesarios para la obtención y registro del consentimiento
En los cuatro meses que quedan para la aplicación del nuevo Reglamento, las organizaciones que tratan datos deberían hacer también un esfuerzo para inculcar a los empleados que tienen que ver con la protección de los mismos, las novedades más importantes del nuevo Reglamento, y para ir introduciendo en la práctica aquellos cambios previstos, que no supongan el incumplimiento de la actual Directiva o de la Ley  Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento de desarrollo.

Entre las materias formativas, estarían las principales  novedades del Reglamento, como:

El sistema de prevención basado en la responsabilidad activa

Este sistema incluye aquellas medidas internas necesarias para asegurar  de forma razonable que las organizaciones están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece.

El nuevo Reglamento establece las siguientes medidas para una buena política de prevención:
  • Medidas para la promoción de códigos de conducta y esquemas de certificación
  • Medidas para el nombramiento de un delegado de protección de datos
  • Medidas para un buen diseño que garantice  la protección de los datos por defecto
  • Medidas para asegurar la seguridad de los datos
  • Medidas para la notificación de las violaciones de la seguridad de los datos
  • Medidas para la creación y mantenimiento de un registro de tratamientos
  • Medidas para la realización de evaluaciones de impacto sobre la protección de los datos
Mediante este sistema de prevención, la protección de datos pasa a ser una materia específica de cumplimiento dentro de las organizaciones que tratan datos de carácter personal, al mismo nivel que otras materias de cumplimiento como la prevención del blanqueo de capitales y de la financiación del terrorismo, todas ellas basadas en la responsabilidad activa.

Al igual que sucede con la prevención del blanqueo de  capitales, estas medidas deberán ser atemperadas por cada organización en base a su propio análisis de riesgos, análisis que será más simple en entidades que sólo lleven a cabo tratamientos sencillos, o más complicado cuando se trate de  datos sensibles, o cuando se desarrollen muchos tratamientos, que afecten a gran cantidad de interesados o que, por sus características, requieran de una valoración prudente de los riesgos.

La nueva forma en que se ha de obtener el consentimiento

La obtención del consentimiento con el nuevo Reglamento, requiere del uso de criterios mucho más estrictos que los hasta ahora utilizados: con carácter general el consentimiento  ha de ser  libre, informado, específico e inequívoco, para lo que ha de haber una declaración de los interesados o una acción positiva que indique el acuerdo de los mismos. A partir de la aplicación del Reglamento, el consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos. Ya no será posible el consentimiento tácito, que era aceptado por la  actual normativa.

En determinados casos, como en el tratamiento de datos sensibles, el consentimiento ha de ser explícito. Este es un requisito más estricto que el inequívoco, que se concede implícitamente mediante algún tipo de acción positiva como por ejemplo marcar una casilla o una declaración genérica. Será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.

A partir de la aplicación del Reglamento, el consentimiento será también verificable, por lo que quienes lo recaben deberán demostrar que el titular de los datos lo otorgó;  esta exigencia  obliga a las organizaciones que tratan datos  a revisar sus sistemas de registro para que sea posible verificar el consentimiento  mediante una auditoría.

El consentimiento de los menores de edad en el ámbito de la sociedad de la  información

El Reglamento también tiene en cuenta la edad mínima para el consentimiento de los menores en el tratamiento de sus datos personales, dentro del ámbito de los servicios de la sociedad de la información, tema éste importante dentro de las redes sociales, pero deja  a cada Estado miembro el establecimiento de esta edad siempre que no se traspase el límite de los 13 años. En  España, ese límite está en los 14 años. Por debajo de esa edad resulta necesario  el consentimiento de los padres o tutores.

También establece el Reglamento que el aviso de privacidad, por parte de las empresas que recopilen datos en el ámbito de la sociedad de la información, deberá estar escrito en un lenguaje entendible por los niños.

Conocimiento de los nuevos derechos de los Ciudadanos

Con el nuevo Reglamento,  los ciudadanos mejoran su capacidad de decisión y control sobre sus datos personales  a través de dos nuevos derechos:
  • El derecho al olvido
  • El derecho a la portabilidad
Cuando los datos no sean necesarios para la finalidad para la que fueron recogidos, o hayan sido recogidos de forma ilícita o se les retire el consentimiento, los ciudadanos podrán ejercer el derecho al olvido, exigiendo su supresión a los responsables de los mismos. Este derecho resulta muy interesante para preservar los datos personales en Internet, porque mediante el mismo los ciudadanos podrán obligar a que se bloqueen los resultados de los buscadores, cuando las listas de vínculos conduzcan a informaciones que no sean de interés público, o sean  obsoletas, incompletas, falsas o irrelevantes.

Los ciudadanos podrán ejercer también el derecho a la portabilidad de sus datos ante el responsable que los esté tratando, recuperando los mismos en un formato  que permita su traslado a otro responsable, o mediante su  transferencia desde este responsable a otro cuando ello sea técnicamente posible.

Los encargados no establecidos en la Unión Europea,  que traten  datos relativos a ofertas  de bienes o servicios destinados a ciudadanos de la Unión, o como consecuencia de una monitorización y seguimiento de su comportamiento, deberán cumplir también  con el Reglamento.

Para ello deberán nombrar un representante en la Unión Europea.

Este representante será el punto de contacto de las Autoridades de supervisión y de los ciudadanos  con los encargados de tratamientos extracomunitarios, y será el destinatario de las acciones de supervisión por parte de las Autoridades.  Será, por tanto el equivalente al delegado de protección de datos de cara al sistema de prevención requerido por el Reglamento que, lógicamente será exigible también para los encargados de tratamiento extracomunitarios.

Los datos de contacto de ese representante en la Unión, deberán proporcionarse a los interesados  dentro de la información relativa a los tratamientos de sus datos personales, lo que permitirá el ejercicio de sus derechos.

La ampliación del ámbito de aplicación territorial, supone una garantía adicional a los ciudadanos europeos, especialmente para la defensa de sus derechos en el mundo de Internet, que hasta ahora trataba los datos de personas de la Unión rigiéndose por las normativas de los países en donde están ubicados,  que no siempre ofrecen los mismos niveles de protección que la normativa europea.

El sistema de  “ventanilla única” para los tratamientos transfronterizos

El Reglamento establece este sistema para que sea una única Autoridad de protección de datos la interlocutora entre los ciudadanos y los responsables de tratamientos establecidos en varios Estados miembros, o que afecten a ciudadanos de varios Estados. Ello conllevará la apertura de procedimientos de cooperación entre todas las Autoridades afectadas, que buscarán  una solución aceptable para todas ellas, resolviéndose las controversias ante el Comité Europeo de Protección de Datos.

De esta manera, los ciudadanos no tendrán que relacionarse nada más que con su Autoridad nacional, encargándose ésta de la coordinación con las restantes autoridades, así como de la información a los mismos de los resultados de sus reclamaciones o denuncias.

La remodelación de los avisos de privacidad

Con el nuevo Reglamento,  las organizaciones que tratan datos  de carácter personal han de incluir en sus avisos de privacidad cuestiones que no son obligatorias con la actual Directiva, como la exigencia expresa de que la información que se ofrezca sea fácil de entender y se presente en un lenguaje claro y conciso, o la obligatoriedad de informar sobre la base legal para el tratamiento de los datos, así como  de los períodos de retención de los mismos. 

Otra información imprescindible a incluir, es el aviso de que los ciudadanos, cuando crean que se están manejando sus datos de forma incorrecta, podrán dirigirse directamente a su Autoridad  de protección de datos mediante una reclamación.




Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)