¿Estás preparado para la aplicación del Reglamento europeo de Protección de Datos?

por | 29,Ago,2017 | Protección de datos y nuevas tecnologías | 0 Comentarios

El Reglamento europeo de Protección de Datos comenzará a aplicarse el 25 mayo de 2018.

El reglamento europeo de protección de datos entró en vigor en mayo de 2016, pero demoró su aplicación dos años para  que los Estados de la Unión Europea, las Instituciones Europeas y también las organizaciones que tratan datos fueran preparándose y adaptándose para el momento en que el Reglamento sea aplicable.

En esos dos años, por ejemplo, los Estados miembros pueden adoptar o iniciar la elaboración de determinadas normas que sean necesarias para permitir o facilitar la aplicación del Reglamento (no pueden ser contrarias a las disposiciones de la vigente Directiva ni tampoco ir más allá de los poderes de actuación normativa que el propio Reglamento prevé de forma explícita o implícita).

El Reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no  establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea que:

  •  actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades.
  • los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.

La  ampliación territorial supone una garantía adicional a los ciudadanos europeos.

En la actualidad, para tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de internet.

Ello permite que el Reglamento sea aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea.

Nuevas herramientas de control de sus datos poseen los ciudadanos

El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

  • El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.

El derecho al olvido fue reconocido por primera vez en la  sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014. Ahora con el Reglamento europeo, el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten, que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

  • El derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable.

Cuando ello sea técnicamente posible, el responsable deberá transferir los datos directamente al nuevo responsable designado por el interesado.

Tratamiento de datos de los menores de edad

El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años.

Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años.

En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores.

En el caso de las empresas que recopilen datos personales, es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.

Responsabilidad activa de las empresas

La responsabilidad activa de las empresas es uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos.

Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece.

El Reglamento europeo de protección de datos entiende que es insuficiente actuar sólo cuando ya se ha producido una infracción, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar.

Por lo que el Reglamento prevé una batería completa de medidas:

  •  Protección de datos desde el diseño
  •  Protección de datos por defecto
  •  Medidas de seguridad
  •  Mantenimiento de un registro de tratamientos
  •  Realización de evaluaciones de impacto sobre la protección de datos
  •  Nombramiento de un delegado de protección de datos
  •  Notificación de violaciones de la seguridad de los datos
  •  Promoción de códigos de conducta y esquemas de certificación.

El nuevo Reglamento exige un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos.

Un mayor compromiso no implica necesariamente ni en todos los casos una mayor carga, en muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.

De hecho, algunas de las medidas que introduce el Reglamento son una continuación o reemplazan a otras ya existentes, como es el caso de las medidas de seguridad o de la obligación de documentación y, en cierto modo, la evaluación de impacto y la consulta a Autoridades de supervisión.

Otras medidas constituyen la formalización en una norma legal de prácticas ya muy extendidas en las empresas o que, en todo caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos, como pueden ser:

  • La privacidad desde el diseño y por defecto
  • La evaluación de impacto sobre protección de datos en ciertos casos
  • La existencia de un delegado de protección de datos.

En todos los casos, el Reglamento prevé que la obligación de estas medidas, o el modo en que se apliquen, dependerá de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos.

Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo.

En entidades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo, datos sensibles o requieran de una valoración cuidadosa de sus riesgos, estos análisis pueden ser operaciones muy simples.

Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento.

El Reglamento europeo de protección de datos exige que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco.

  • Para poder considerar que el consentimiento es inequívoco, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado.
  • El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.

Por lo que prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.

  • Además, el Reglamento prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles.

Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva.

Será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.

  • Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento.

Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

También deberías revisar la política de privacidad

El Reglamento europeo de protección de datos prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que hasta ahora no eran necesariamente obligatorias.

Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados pueden dirigir sus reclamaciones a las Autoridades de protección de datos, si consideran que hay un problema con la forma en que están manejando sus datos.

Es importante recordar que el Reglamento europeo de protección de datos exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.

Aunque el Reglamento europeo de protección de datos no será de aplicación hasta mayo de 2018 es conveniente que tu organización empiece ya a valorar la implantación de algunas de las medidas previstas, eso sí, hay que tener en cuenta las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España.

Por ponerte algún ejemplo, algunas de las actuaciones que puedes iniciar antes de mayo de 2018:

  • A partir de mayo de 2018  tendrás que realizar análisis de riesgo de sus tratamientos, por lo que  puede ser útil que empieces desde ahora a identificar el tipo de tratamientos que realiza tu organización, el grado de complejidad del análisis que deberás llevar a cabo, etc.
  • También puedes empezar a planificar o a establecer el registro de tratamientos de datos o a implantar las evaluaciones de impacto o cualquiera otra de las medidas previstas.
  • También puedes comenzar a diseñar e implantar los procedimientos para notificar adecuadamente a las Autoridades de protección de datos o a los interesados las quiebras de seguridad que pudieran producirse.
  • Puedes revisar cómo recoges el consentimiento, y cómo facilitas a la los interesados  el ejercicio de sus derechos. Aunque la interpretación de facilitar pueda variar dependiendo de los casos, en todos ellos requiere algún tipo de actuación positiva por parte de los responsables para hacer más accesibles y sencillas las vías para el ejercicio de derechos.

El empezar desde ya a adoptar medidas y prepararte para la aplicación de las nuevas medidas te permitirá detectar dificultades, insuficiencias o errores en una etapa en que estas medidas no son obligatorias y, en consecuencia, su corrección o eficacia no estarían sometidas a supervisión.

Por lo que podrás corregir errores para el momento en que el Reglamento sea de aplicación, evitando ser sancionado, las multas en el Reglamento europeo pueden llegar hasta un 4% de la facturación anual o 20 millones de euros (el máximo de ambos), dependiendo de la gravedad del caso.

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Categorías

Nuestra APP para Comunidades de Propietarios

Entrada relacionadas

Contacta con nosotros

Pin It on Pinterest