El próximo 25 de mayo de 2018 será directamente aplicable el nuevo Reglamento Europeo de Protección de Datos (RGPD) en España y en toda la Unión Europea. Esta nueva normativa trae consigo mayores cargas a las empresas y autónomos en materia de protección de datos.
Entre sus novedades destacan:
• Evaluación de impacto en la privacidad: en palabras de la Agencia Española de Protección de datos, es un análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.
• “Privacy by design” o protección de datos por defecto: esta novedad va ligada al análisis de riesgos anterior, es decir, en la creación de nuevos productos o servicios deben tenerse en cuenta indudablemente las obligaciones en materia de protección de datos.
• Ausencia de inscripción de ficheros: no será necesaria la inscripción de ficheros en la Agencia Española de Protección de Datos (AEPD), sin embargo, se deberá llevar un control interno sobre los mismos. Y en todo, caso, ante requerimientos de la AEPD.
• Delegado de Protección de Datos (DPO): las empresas deberán disponer de forma interna o externa de esta figura, que deberá velar por el cumplimiento de la normativa en materia de protección de datos. De momento, no se requiere que cuente con una certificación determinada, pero se recomienda que sea un perfil jurídico especializado en protección de datos y con experiencia en dicha materia.
• Comunicación de brechas de seguridad: será imprescindible comunicar a la Agencia Española de Protección aquellas violaciones de protección de datos que sufran las empresas y autónomos en un período máximo de 72 horas. (Por ejemplo, un hackeo de datos o un robo de información).
• Derecho al olvido: se regula este derecho que es una concreción en el ámbito de internet de los denominados derechos ARCO (acceso, rectificación, cancelación y oposición) a los datos personales y que se ejerce a frente a los buscadores de internet (por ejemplo Google), es decir, se protege que al introducir el nombre de una persona en el buscador de internet y aparezcan datos „no pertinentes, inadecuados o excesivos“, esta persona pueda oponerse a que dicho buscador no vincule o no indexe esos datos con su nombre en los resultados de búsqueda.
• Derecho a la portabilidad de los datos: se contempla como un “quinto derecho” junto a los conocidos derechos ARCO (acceso, rectificación, cancelación y oposición), este derecho consiste en la facultad del interesado o usuario a reclamar la totalidad de sus datos personales a empresas o autónomos que realicen dicho tratamiento, en un formato estándar (por ejemplo, “pdf”); o incluso señalarles que los cedan a un nuevo tercero que realizará dicho tratamiento (Por ejemplo, tras un cambio de proveedor de página web o programa de software).
• Transferencias internacionales de datos: se restringe la utilización de datos personales en plataformas situadas en terceros países que no garanticen un nivel de protección de datos adecuado. (En el caso de que los datos se traten en plataformas situadas en los EE.UU. estas compañías deben estar adheridas al acuerdo de “privacy shield” o escudo de privacidad; en caso contrario se debería obtener una autorización de la Agencia Española de Protección de Datos o bien, un consentimiento inequívoco de los usuarios cuyos datos sean objeto de tratamiento).
Por su parte, los sectores o actividades especialmente sensibles a dicho cambio normativo son, en palabras de la Agencia Española de Protección de Datos, los siguientes:
- Sanidad;
- Solvencia patrimonial y crédito;
- Actividades políticas, sindicales o religiosas;
- Servicios de telecomunicaciones;
- Seguros;
- Entidades bancarias y financieras;
- Actividades de servicios sociales;
- Publicidad; Videovigilancia masiva.
José Nogueira
Abogado
Sistemius