Como sabemos, ya ha entrado en vigor el Reglamento de Protección de Datos aprobado por la Unión Europea, aunque será aplicable obligatoriamente a los dos años de su entrada en vigor, es decir, en mayo de 2018.
Con este Reglamento se quiere dar mayor poder a los interesados sobre sus datos personales, tanto en redes sociales, smartphones, banca online, etc., de forma que puedan determinar qué información quieren que sea pública y cuál no.
A pesar de que es una única norma para toda la Unión Europea, y de aplicación inminente al entrar en vigor, debe ser interpretada a nivel nacional, es decir, en España lo hará la Agencia Española de Protección de Datos, que deberá pronunciarse ya que en muchos artículos se deja la puerta abierta a los distintos países europeos para que regularicen esos aspectos.
- Principales cambios con el nuevo Reglamento europeo de Protección de Datos
- No sustituye a la LOPD
- ¿A qué empresas se aplica el nuevo RGPD?
- ¿Cómo afecta a los ciudadanos y qué herramientas tienen para proteger sus datos personales?
- Derecho al olvido
- Derecho a la portabilidad
- Nuevas obligaciones para las empresas
- ¿Cómo tenemos que obtener el consentimiento?
- ¿Se deben revisar los avisos de privacidad?
- ¿En qué consiste el sistema de ventanilla única?
- ¿Qué se entiende por Responsabilidad activa según el RGPD?
- Obligaciones para las empresas
- El futuro de la Protección de Datos en España
- Adecuación al Reglamento europeo de Protección de Datos
- Transferencias internacionales entre EE.UU. y UE
- Protección de Datos con el Brexit
Principales cambios con el nuevo Reglamento europeo de Protección de Datos
La existencia de una nueva normativa sobre Protección de Datos que afecta a todos los países de la Unión Europea hace que nos surjan muchas preguntas. Vamos a intentar hacer un poco más comprensible esta normativa dando respuesta a las principales cuestiones que se nos plantean.
No sustituye a la LOPD
La respuesta en este caso es que el Reglamento será obligatoriamente aplicable dentro de dos años pero hasta entonces, la legislación nacional es válida y plenamente aplicable.
La respuesta en este caso es que el Reglamento será obligatoriamente aplicable dentro de dos años pero hasta entonces, la legislación nacional es válida y plenamente aplicable.
¿A qué empresas se aplica el nuevo RGPD?
Este Reglamento se aplica a responsables o encargados de tratamiento de datos de carácter personal establecidos en la Unión Europea, y también a responsables y encargados no establecidos en la UE siempre que traten datos como consecuencia de una oferta de bienes o servicios destinados a ciudadanos de la Unión. Esas organizaciones deberán designar un delegado en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos.
¿Cómo afecta a los ciudadanos y qué herramientas tienen para proteger sus datos personales?
Supone una garantía adicional para los ciudadanos ya que el Reglamento es aplicable a empresas que, hasta ahora, podían estar manejando datos de personas físicas de países europeos y, sin embargo, se regían por normativas de otras regiones o países que no ofrecían el mismo nivel de protección que la normativa europea.
Se introducen nuevos elementos, entre ellos el derecho al olvido y el derecho a la portabilidad, que aumentan la capacidad de decisión y control de los ciudadanos sobre los datos personales que facilitan a terceros.
Derecho al olvido
Es el derecho que tienen los ciudadanos a solicitar, y conseguir de los encargados, que los datos personales sean suprimidos cuando estos ya no sean necesarios para el fin para el que fueron reunidos, cuando se haya revocado el consentimiento o cuando estos se hayan obtenido de forma ilegal.
Derecho a la portabilidad
Implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de forma digitalizada podrá requerir recobrar esos datos en un formato que le permita su traslado a otro responsable.
Nuevas obligaciones para las empresas
Este Reglamento supone un mayor compromiso de las empresas y organizaciones con la Protección de Datos. Para ello todas las organizaciones que tratan datos deben efectuar un análisis de riesgo de sus tratamientos para poder establecer qué medidas han de aplicar y cómo hacerlo.
Estos análisis pueden ser procedimientos sencillos en entidades que no llevan a cabo más que unos pocos tratamientos elementales que no supongan, por ejemplo, datos especialmente protegidos, o trabajos más complejos, en entidades que desarrollen muchos tratamientos, que afecten a gran número de personas o que por sus características requieren de una valoración cuidadosa de sus riesgos.
¿Cómo tenemos que obtener el consentimiento?
El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco.
Las empresas deberían revisar la forma en la que obtienen y guardan el consentimiento. Actualmente existen prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas con la actual normativa pero dejarán de serlo cuando el Reglamento sea de aplicación.
Para poder considerar que el consentimiento es “incuestionable”, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que apunte al acuerdo del interesado. La aceptación no puede deducirse del silencio o de la inacción de los ciudadanos. Se exige que el consentimiento tenga que ser “manifiesto” en determinados casos, como puede ser para autorizar el tratamiento de datos sensibles. Por tanto, el consentimiento tiene que ser verificable y quienes recopilen datos personales deben poder probar que el afectado les concedió su consentimiento.
¿Se deben revisar los avisos de privacidad?
El Reglamento prevé que se incluyan una serie de informaciones que anteriormente no eran obligatorias, entre ellas, habrá que explicar la procedencia legal para tratar los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus requerimientos a las Autoridades de protección de datos. Se establece que la información proporcionada sea fácil de entender y debe presentarse en lenguaje claro.
¿En qué consiste el sistema de ventanilla única?
La ventanilla única (One Stop Shop) supone que responsables establecidos en varios Estados miembros o que, aún estando en un solo Estado miembro, hagan tratamientos que atañen de forma relevante a ciudadanos en varios Estados de la UE, tengan una única Autoridad de protección de datos. También supone que cada Autoridad de protección de datos europea, en vez de examinar una denuncia o permitir un tratamiento a nivel rigurosamente nacional, a partir de la aplicación del Reglamento valorará si el caso afecta a varios países, en cuyo caso habrá que iniciar un proceso de cooperación entre todas las Autoridades implicadas buscando un arreglo admisible para todas ellas.
Si hay desacuerdos insuperables, el caso puede presentarse al Comité Europeo de Protección de Datos, una entidad de la Unión Europea formada por los directores de todas las Autoridades de control de la Unión. Ese Comité solucionará la polémica mediante resoluciones vinculantes para las Autoridades afectadas.
¿Qué se entiende por Responsabilidad activa según el RGPD?
Esta responsabilidad activa se refiere a la necesidad de prevención por parte de las organizaciones que manejan datos personales. Las empresas y entidades deben adoptar medidas que garanticen de manera suficiente que están en condiciones de cumplir con las reglas, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar únicamente cuando ya ha tenido lugar la infracción no es suficiente como estrategia, debido a que esa infracción puede ocasionar daños a los interesados que puede ser muy complicado compensar o reparar. Se establecen una serie de medidas como:
Protección de datos desde el comienzo
Protección de datos por regla general
Medidas de seguridad
Establecer un registro de tratamientos
Realización de análisis de impacto en la protección de datos
Nombramiento de un Delegado de Protección de Datos
Comunicación de infracciones de la seguridad de los datos
Promoción de códigos de conducta y esquemas de certificación.
Obligaciones para las empresas
Las empresas y entidades que manejan datos personales no tienen aún la obligación de cumplir las medidas establecidas en el Reglamento de Protección de Datos. Sin embargo, puede ser útil que estas empiecen ya a valorar la implantación de algunas de las normas establecidas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma que debe aplicarse a todos tratamientos de datos personales en España.
Por ejemplo, las organizaciones deben saber que a partir de mayo de 2018 deberán realizar análisis de riesgo de sus tratamientos y que puede ser beneficioso para ellas comenzar desde ahora a detallar el tipo de tratamientos que realizan, el nivel de dificultad del análisis que deberán realizar, etc. En esta labor podrían utilizar las herramientas y recursos que paulatinamente vayan fomentando las Autoridades de control. También deben tener en cuenta que van a necesitar un Delegado de Protección de Datos.
Así mismo, nada evita que las organizaciones comiencen a planificar o a establecer el registro de tratamientos de datos o a instaurar las valoraciones de impacto o cualquiera otra de las medidas previstas.
Las empresas y entidades que manejan datos personales no tienen aún la obligación de cumplir las medidas establecidas en el Reglamento de Protección de Datos. Sin embargo, puede ser útil que estas empiecen ya a valorar la implantación de algunas de las normas establecidas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma que debe aplicarse a todos tratamientos de datos personales en España.
Por ejemplo, las organizaciones deben saber que a partir de mayo de 2018 deberán realizar análisis de riesgo de sus tratamientos y que puede ser beneficioso para ellas comenzar desde ahora a detallar el tipo de tratamientos que realizan, el nivel de dificultad del análisis que deberán realizar, etc. En esta labor podrían utilizar las herramientas y recursos que paulatinamente vayan fomentando las Autoridades de control. También deben tener en cuenta que van a necesitar un Delegado de Protección de Datos.
Así mismo, nada evita que las organizaciones comiencen a planificar o a establecer el registro de tratamientos de datos o a instaurar las valoraciones de impacto o cualquiera otra de las medidas previstas.
El futuro de la Protección de Datos en España
A la vista de los cambios que se están produciendo en este sector como esta nueva normativa europea, el nuevo esquema para las transferencias internacionales de datos de carácter personal entre la UE y EE.UU (Privacy Shield) y los cambios que puede suponer el hecho de que el Reino Unido abandone la Unión Europea, nos planteamos cómo va a evolucionar la Protección de Datos en nuestro país.
Adecuación al Reglamento europeo de Protección de Datos
La AEPD, en su novena Sesión Anual Abierta celebrada el día 29 de junio, ha aconsejado a las distintas empresas, profesionales y organismos que aprovechen este periodo transitorio de dos años establecido por el Reglamento europeo de Protección de Datos para adaptarse progresivamente a todas las obligaciones y requisitos establecidos por esta normativa.
Igualmente la Agencia ha decretado su compromiso para introducir las herramientas necesarias que ayuden y faciliten la adaptación a este Reglamento europeo. Pretende que los obligados a su cumplimiento cuenten con todos los medios teóricos y materiales necesarios para ponerlo en práctica. En este sentido, se pondrán en marcha recursos online para que las pymes que realizan tratamientos de bajo o muy bajo riesgo puedan acceder a las medidas de seguridad que deben aplicar en función de ese bajo riesgo. A estos recursos se añadirán otros dirigidos a aquellas pymes que realicen tratamientos de más alto riesgo por manejar datos especialmente protegidos.
Transferencias internacionales entre EE.UU. y UE
En cuanto a las transferencias internacionales de datos entre la Unión Europea y EE.UU., se confía en que la Comisión Europea adopte una resolución que posibilite el conceder mayor fluidez a las transferencias internacionales de datos entre la UE y EE.UU.
Protección de Datos con el Brexit
Por último, en relación a la salida del Reino Unido de la UE, la situación aún es difícil de determinar. Debería llegarse a un acuerdo entre ambos similar al que la UE tiene ya con otros países como Noruega o Suiza que no pertenecen a la UE. En este caso el Reino Unido tendría libertad para elegir su propia normativa de Protección de Datos pero las empresas estarían obligadas a cumplir la legislación de la UE. Empresas como Google o Facebook también tendrían dificultades al producirse el Brexit.
La normativa europea no permite acumular datos personales de sus ciudadanos en otros países que no formen parte de la Unión, salvo en 11, entre los que están Suiza, Nueva Zelanda e Israel, a los que consideran que sus modelos de protección son “adecuados”. Antes de considerar su sistema de protección como seguro se sometería al Reino Unido a una estricta vigilancia respecto a sus leyes sobre Protección de Datos.
Fuente:
https://www.protecciondatos-lopd.com/empresas/nueva-ley-proteccion-datos-2018/#No_sustituye_a_la_LOPD
No hay comentarios:
Publicar un comentario