Entrada en vigor del Nuevo Reglamento europeo de Protección de Datos

Nuevas reglas del juego

Tras un proceso de trabajo prolongado durante cuatro años, y sustituyendo a una normativa, aprobada en 1995, que, claramente, ha quedado obsoleta debido al avance de las nuevas tecnologías y la generalización de su uso y de sus peligros, se ha publicado el nuevo Reglamento Europeo de Protección de Datos para adecuar la normativa en protección de datos a las circunstancias actuales. Esta adecuación supone mayor control sobre nuestros datos personales, mayor seguridad y un incremento de la información. También existen ventajas para las administraciones, empresas, entidades y profesionales debido a que hay más soporte, una mayor rapidez en las gestiones burocráticas y mayor agilidad en la exportación de datos a otros países, entre otros aspectos.

Ha entrado en vigor el 25 de mayo y tendremos dos años para adaptarnos, plazo hasta mayo de 2018. Entonces deberemos cumplir con estos requerimientos y, para ello, debemos ir adaptándonos poco a poco a los requisitos establecidos por esta normativa.

Os vamos a informar de las principales novedades introducidas por este Reglamento de Protección de Datos.

Novedades del Reglamento europeo de Protección de Datos

Entrada en vigor y aplicabilidad

El Reglamento entró en vigor el día 25 de mayo, a los 20 días de su aprobación, pero no será aplicable en los Estados miembros hasta los dos años de su entrada en vigor, es decir, el 25 de mayo de 2018. En esa fecha será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Finalidad

Esta normativa europea recoge:

• Las disposiciones referentes a la protección de las personas físicas en lo relativo al tratamiento de los datos personales y
• Los preceptos correspondientes a la libre circulación de esos datos.

Ámbito de aplicación

• Material: el Reglamento es aplicable a la gestión, tanto automatizada como no automatizada, de datos personales incluidos en un fichero. Y no se aplicará, en particular:

1. A la realización de funciones no incluídas en el ámbito de aplicación del Derecho de la Unión Europea,
2. A la tarea de las autoridades dirigida a la prevención o investigación de delitos o a la protección de la seguridad pública,
3. Ni a la gestión de datos realizada por una persona física en el ejercicio de funciones personales o domésticas.

• Territorial: el Reglamento se aplica a los tratamientos de datos personales realizados en el entorno de las actividades de una empresa del responsable o del encargado en la Unión, con independencia de que el tratamiento se produzca en la Unión o no. Igualmente se aplica al tratamiento de datos personales de residentes en la Unión efectuado por un “responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén vinculadas con: a) la oferta de bienes o servicios a esos interesados en la Unión, con independencia de si a estos se les exige su pago, o b) la inspección de su comportamiento, siempre que este tenga lugar en la Unión”. Es decir, es aplicable también a la gestión de datos fuera de la Unión, lo cual supone una ampliación considerable de su ámbito de aplicación.

Principios rectores

• Un continente, una norma. La nueva normativa establece una legislación unitaria aplicable a la totalidad de países pertenecientes a la Unión Europea.
• Ventanilla única: Los empresarios solo se relacionarán con un único supervisor en Europa, lo que se estima que va a suponer un ahorro de más de 2.000 millones de euros al año.
• Europa se guía por la legislación europea: Las empresas radicadas fuera de la Unión estarán obligadas a aplicar las mismas reglas si ofrecen sus servicios en la Unión Europea.
• Atención a los riesgos específicos: Las nuevas normas impedirán que existan incómodas obligaciones comunes sobre el tratamiento de datos, ajustándolas acertadamente a los distintos factores de riesgo.
• Privacidad desde el diseño: Las nueva normativa avala que la garantía de la protección de datos se incluye en los productos y servicios desde sus primeras etapas de desarrollo (Data protection by design). Se promoverán las técnicas “Privacy-friendly”, como la seudoanonimización, para preservar los beneficios de la innovación en Big Data del mismo modo que se garantiza la privacidad. Este principio de privacidad desde el diseño significa que en el diseño de aplicaciones que traten datos personales, se debe garantizar la privacidad de los mismos desde el primer momento. El responsable o encargado del tratamiento tiene la obligación de aplicar las medidas técnicas y organizativas precisas tanto antes de la obtención de los datos como durante el tratamiento en sí mismo, es decir, que la privacidad debe comprender todo el ciclo de vida de los datos incorporando las debidas garantías que aseguren el cumplimiento de lo dispuesto en el Reglamento. Esto implica, por ejemplo, que en materia de redes sociales, los perfiles de privacidad de los usuarios estarán por defecto ocultos a otros usuarios, debiendo ser el usuario quien los abra a otros.
• El consentimiento será esencial: El consentimiento para el tratamiento de los datos deberá ser “libre, específico, informado e inequívoco” y el responsable del tratamiento de los datos deberá tener la facultad de acreditar que el titular “consintió el tratamiento de sus datos”.

Nuevos derechos de los ciudadanos

El Reglamento establece nuevos derechos como son:

• Información. Dentro del deber de información previa se mantiene la obligación de identificación del responsable o finalidad del tratamiento, y se añaden otras novedades como informar sobre la portabilidad de datos o la posibilidad de interponer una denuncia o reclamación ante la autoridad de control. Si la información no se ha conseguido directamente del afectado, se imponen deberes especiales de información para este supuesto.
• Derecho de acceso. Los afectados tienen derecho a acceder en todo momento a sus datos personales objeto de tratamiento.
• Rectificación y borrado. En el derecho de borrado se incluye el llamado derecho al olvido que podrá demandarse entre otras causas cuando no exista o desaparezca la finalidad que originó el tratamiento. No procederá, por ejemplo, cuando este derecho choque con la libertad de expresión e información.
• Limitación del tratamiento: este nuevo derecho se aplica, por ejemplo, mientras el controlador de datos verifica una reclamación del afectado sobre datos incorrectos.
• Derecho a la portabilidad. Otro de los nuevos derechos recogidos en el Reglamento concebido sobre todo para servicios de cloud computing. Esencialmente consiste en que los afectados puedan conseguir su información personal de forma organizada y legible en un formato compatible con otros sistemas.
• Derecho de objeción. Creado especialmente para tratamientos basados en evaluación de la conducta (profiling) y marketing directo.
• Decisiones automatizadas. El afectado tiene derecho a que no le perjudique una decisión que se base únicamente en un proceso automatizado con efectos legales o similares que le afecten de manera significativa, salvo que esa decisión se adopte en la ejecución de un contrato entre afectado y controlador, que se haya previsto por ley o que el afectado otorgue su consentimiento explícito.
• Con carácter general las empresas deberán supervisar sus avisos de privacidad. El reglamento establece que se incorporen en la información facilitada a los interesados una serie de aspectos que anteriormente no eran obligatorios. Por ejemplo, informar sobre la base legal para el tratamiento de datos, los plazos de retención de los mismos y avisar de que los interesados pueden presentar sus reclamaciones ante las autoridades de protección de datos. Se requiere que la información que se suministre sea fácilmente comprensible y se muestre en un lenguaje claro y conciso.
• Responsabilidad activa. Se trata de unos de los aspectos más importantes del reglamento, que impulsa la prevención por parte de las organizaciones que gestionan datos personales. Las empresas deberán implantar medidas que garanticen razonablemente que se encuentran en condiciones de satisfacer los principios, derechos y garantías fijados por la norma. Según este derecho, será insuficiente la táctica de intervenir sólo después de la infracción y se adjuntan un conjunto de medidas de prevención.
• Se establecen los 16 años como edad a partir de la cual se puede prestar consentimiento sobre el tratamiento de datos personales en el sector de los servicios de la sociedad de la información como es el caso de las redes sociales. No obstante, cada Estado podrá disponer la suya propia, hasta un máximo de 13 años. En España actualmente ese límite es de 14años. Por debajo de esa edad, se exige el consentimiento de padres o tutores.

¿Cómo afecta el Reglamento europeo de Protección de Datos a las empresas?

• El responsable del fichero debe ser capaz de acreditar que obtuvo el “consentimiento claro y afirmativo” necesario para recoger los datos del usuario. Debe utilizar además un lenguaje claro e inteligible en las cláusulas de privacidad.

• Aparece la figura del Delegado de Protección de Datos y en determinados supuestos será necesario que esta función la desempeñe alguien de la propia plantilla. También se permite que algunas empresas contraten estos servicios con alguien ajeno a ellas. El Delegado de Protección de Datos será obligatorio en:
  • Organizaciones e instituciones públicas.
  • Empresas con más de 250 trabajadores.
  • Empresas que cuenten con menos de 250 empleados.
    • Que precisen un seguimiento regular y periódico de los datos personales tratados: para la investigación de mercados, de análisis de riesgos, crediticios o de solvencia patrimonial.
    • Que traten con datos clasificados como especialmente protegidos: religiosos o de creencias, afiliación sindical, raciales, biométricos, si permiten identificar completamente a una persona, sexuales. de salud y antecedentes penales o condenas.

• Las empresas efectuarán análisis de riesgos y evaluaciones de impacto en materia de privacidad con carácter previo a la introducción de un producto o servicio en el mercado.

• Establece la obligación para las empresas de informar si sufren alguna filtración de datos personales en el plazo de 72 horas siguientes a la autoridad nacional de control (a la AEPD) y también a los propios afectados. Utilizar el cifrado de la información personal elimina la obligación de notificar a los afectados que ha tenido lugar una brecha de seguridad en la que se han visto expuestos sus datos personales.

• Una de las novedades más destacadas es el fortalecimiento del régimen sancionador: las multas pueden alcanzar hasta el 4% de la facturación global o los 20 millones de euros.

• Se ha establecido la ventanilla única para dar más rapidez a los trámites. En el caso de una empresa española que tenga sedes en otros países de la UE, solo se relacionará con la AEPD, que es la entidad de control del lugar donde esta empresa tiene su matriz o sede central.