El Reglamento General de Protección de Datos de la Unión Europea 216/976, que se empezará a aplicar el próximo 25 de mayo de 2018, obliga a las empresas y entidades a realizar una serie de adaptaciones.
Es importante que las empresas estén preparadas para aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y demostrar que realizan el tratamiento de datos personales de conformidad con la Ley. Es por ello recomendable que las empresas analicen con tiempo los datos que tratan, con qué finalidad lo hacen y cuales son las operaciones de tratamiento que realizan. Este análisis es imprescindible para poder asegurarse la aplicación de las medidas adecuadas y evitar posibles sanciones.
Este análisis es fundamental hacerlo con un enfoque de riesgo es decir teniendo en cuenta la naturaleza, el ámbito, el contexto y las finalidades del tratamiento, así como el riesgo para los derechos y las libertades de las personas. Es decir las medidas a aplicar deben adaptarse a las características de las organizaciones. No es lo mismo una organización que maneja datos de millones de personas, con tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado, que una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.
A continuación veamos las preguntas que debemos hacernos sobre aspectos más relevantes del citado Reglamento:
1.- ¿A qué empresas y organizaciones aplica?
El Reglamento no solo se aplica a las empresas establecidas en la UE, sino que se amplía a los responsables y encargados del tratamiento no establecidos en la UE, cuando las actividades de tratamiento están relacionados con una oferta de bienes y servicios o con el control de comportamiento de personas, si tienen lugar en la UE. A tal fin esas organizaciones deben designar un representante en la UE, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos.
2.- ¿Cómo debemos solicitar el consentimiento?
Debemos asegurarnos que quien está entregando sus datos personales a su vez está otorgando un consentimiento inequívoco a su tratamiento, es decir que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. No se admiten por tanto formas de consentimiento tácito o por omisión. En algunos casos el consentimiento, además de inequívoco, debe de ser explícito: tratamiento de datos sensibles; adopción de decisiones automatizadas, o transferencias internacionales.
En otros casos el consentimiento puede ser inequívoco y otorgarse de forma implícita cuando por ejemplo se pueda deducir de una acción del interesado (cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación).
Los tratamientos iniciados con anterioridad al inicio de la aplicación del Reglamento sobre la base del consentimiento seguirán siendo legítimos, pero deberemos asegurar que tenemos una manifestación o acción afirmativa de la persona.
3.- ¿Qué información debemos ofrecer a los interesados?
La información es un derecho de las personas afectadas y se amplían los ámbitos sobre los que hay que informar, en concreto: los datos de contacto del delegado de protección de datos; la base jurídica del tratamiento; los intereses legítimos perseguidos en que se fundamenta el tratamiento, en su caso; la intención de transferir los datos a un tercer país o una organización internacional y la base para hacerlo, en su caso; el plazo durante el cual se conservarán los datos; el derecho a solicitar la portabilidad; el derecho a retirar en cualquier momento el consentimiento que se haya prestado; si la comunicación de datos es un requisito legal o contractual o un requisito necesario para suscribir un contrato; el derecho a presentar una reclamación ante una autoridad de control; la existencia de decisiones automatizadas, incluida la lógica aplicada y sus consecuencias.
4.- ¿Cómo debemos ofrecer la información?
La información a los interesados, se proporcionará por escrito de forma concisa, transparente, inteligible y de fácil acceso, en un lenguaje claro y sencillo. Debemos evitar por tanto fórmulas enrevesadas o que se remitan a textos legales.
5.- ¿Qué derechos tienen las personas interesadas?
Además de los tradicionales derechos ARCO (acceso, rectificación, cancelación y oposición), el Reglamento reconoce otros derechos, que resumidamente son los siguientes:
A) Derecho al olvido, es decir derecho a la supresión de los datos, cuando: (i) los datos ya no son necesarios para la finalidad por la cual se recogieron; (ii) el interesado revoca el consentimiento o se opone al tratamiento; (iii) cuando los datos se han tratado de forma ilícita; (iv) cuando se deben suprimir para cumplir una obligación legal, o (v) cuando los datos se han obtenido en relación con la oferta de unos servicios de la sociedad de información dirigida a menores.
B) Derecho a la limitación, por el que la persona tiene el derecho a solicitar que los datos personales no se apliquen a determinadas operaciones. Se puede solicitar: (i) cuando la persona interesada ha ejercido sus derechos de rectificación u oposición, mientras el responsable decide si debe atenderse la petición; (ii) cuando el tratamiento es ilícito, lo que obligaría al borrado de los datos, pero el interesado se opone; (iii) cuando los datos no son necesarios, lo cual también supondría su borrado, pero el interesado solicita que se conserven para poder formular, ejercer o defender reclamaciones.
C) Derecho a la portabilidad, por el cual la persona interesada tiene derecho a recibir los datos personales que le afectan y que ha facilitado a un responsable de tratamiento en un formato estructurado, de uso común y de lectura mecánica y transmitirlos a otro responsable.
6.- ¿Cómo pueden ejercer sus derechos los interesados?
Los responsables de tratamiento deben establecer formas y procedimientos visibles, accesibles y sencillos y que se pueda realizar por medios electrónicos. El ejercicio de los derechos debe ser gratuito, aunque si las solicitudes fueran infundadas, excesivas o repetitivas, se podría cobrar un canon que compense los costes administrativos o bien negarse a actuar.
El responsable debe informar a la persona interesada sobre las actuaciones realizadas en el plazo de un mes, que puede ampliarse a dos si son solicitudes complejas, aunque siempre en el plazo de un mes deberá informar de la ampliación o en su caso de la decisión de no atender la petición, motivando la negativa.
7.- ¿Debemos inscribir y notificar los ficheros ante la autoridad de protección de datos?
No. El Reglamento suprime la necesidad de crear formalmente los ficheros y notificarlos en el registro de protección de datos de las autoridades de control.
8.- ¿Debemos llevar algún tipo de registro?
Sí. Los responsables y encargados del tratamiento deben llevar un registro de las actividades de tratamiento que llevan a cabo. Este registro contendrá, respecto de cada actividad, la información exigida por la norma, tales como: nombre y datos de contacto del responsable y, en su caso, del corresponsable, así como del delegado de protección de datos si lo hay; finalidades del tratamiento; descripción de categorías de interesados y categorías de datos personales tratados; transferencias internacionales de datos; cuando sea posible, plazos previstos para borrar los datos; y cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.
Sólo se exceptúan de esta obligación las organizaciones que cuenten con menos de 250 trabajadores, a menos que lleven a cabo tratamientos que puedan suponer un riesgo, salvo que sea ocasionalmente, para los derechos y las libertades de las personas interesadas , o incluyan categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales.
Una posibilidad para organizar este registro de actividades de tratamiento es partir de los ficheros que actualmente los responsables tienen ya notificados ante las autoridades de Protección de Datos y detallar todas las operaciones que se realizan sobre cada conjunto estructurado de datos. También se puede organizar en torno a operaciones de tratamiento concretas, vinculadas a una finalidad básica común de todas ellas (por ejemplo «gestión de clientes», «gestión contable» o «gestión de recursos humanos y nóminas» ), o bien de acuerdo con los criterios que los responsables decidan.
9.- ¿Cuáles son las funciones de los encargados del tratamiento?
Si bien la responsabilidad última sobre el tratamiento continúa atribuida al responsable, que es quien determina la existencia y la finalidad del tratamiento, en determinadas materias, los encargados tienen obligaciones propias, que no se circunscriben al ámbito del contrato que los vincula al responsable y que las autoridades de protección de datos deben supervisar separadamente. Por ejemplo, los encargados deben mantener un registro de actividades de tratamiento, determinarán las medidas de seguridad aplicables a los tratamientos que realizan o han de designar un delegado de protección de datos, en los casos en que sea obligatorio.
Los responsables sólo tienen que elegir encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, por lo que el tratamiento sea conforme a los requisitos del Reglamento. Esta previsión también se extiende a los encargados, cuando subcontratan operaciones de tratamiento con otros sub-encargados.
10.- ¿Debemos designar a un Delegado de Protección de datos?
Solo si se cumplen unas determinadas condiciones: (i) cuando el tratamiento se realice por una autoridad u organismo público; (ii) cuando el tratamiento requiera la observación habitual y sistemática a gran escala y (iii) cuando el tratamiento tenga por objeto categorías espéciales de datos personales.
El Delegado de Protección de Datos tiene como funciones informar y asesorar al responsable o encargado y a los trabajadores sobre las obligaciones de la normativa, supervisar que se cumple la normativa, asesorar respecto a la evaluación de impacto, cooperar con las autoridades y actuar como punto de contacto en la materia.
El pasado 10 de noviembre de 2017 fue aprobada por el Consejo de Ministros el proyecto de nueva Ley Orgánica de Protección de Datos (LOPD), que se está tramitando en las Cortes para su aprobación definitiva y entrada en vigor en los próximos meses. Seguiremos informando en cuanto dicha Ley se apruebe.
Gracias por la información. Gran aporte de esta web. Un cordial saludo!