Como ya muchos sabéis, el 25 de mayo de 2018 entra en aplicación el nuevo reglamento europeo de protección de datos, obligando a modificar y actualizar ciertos puntos de nuestra legislación. Sin embargo, puede que existan organizaciones que lo desconocen o que aún no han dado con la tecla a la hora de aplicar sus medidas. Qué duda cabe de que este Reglamento General de Protección de Datos suprimirá, modificará e integrará figuras, procedimientos o tratamientos, creando un marco normativo igualitario para todos los estados miembros de la Unión Europea.
Principales novedades del nuevo Reglamento General de Protección de Datos
Responsabilidad proactiva: esto supone que el responsable del tratamiento de datos tendrá que guiarse por una serie de principios (reseñados en los artículos 5 y sucesivos; como pueden ser el de licitud, lealtad o transparencia), que velen por un uso legal y responsable de los datos de carácter personal en todo el período de tratamiento.
Legitimidad del tratamiento: hace referencia a la forma de proceder para adquirir esos datos, ya sea por una cuestión de obligación legal o en el interés y/o ejercicio de los poderes públicos.
Consentimiento: el consentimiento táctico o por inacción deja de ser válido, pues éste deberá demostrar la voluntad de afirmar, además de ser informado y libre. En el ámbito del consentimiento del menor de edad, el reglamento señala un intervalo desde los 13 a los 16 años.
Categoría especial de datos: la naturaleza de la información, especialmente sensible, genera la prohibición de su tratamiento, exceptuada por ser una serie de casos tasados. Dentro de esta categoría se hallan los referentes a etnia o raza, opinión política, salud o vida sexual y afiliación sindical, además de datos genéticos y biométricos.
Registro de actividades de tratamiento: con esto desaparece la obligación de notificar la inscripción de ficheros en el Registro de la AEPD (Agencia Española de Protección de Datos) o de la autoridad autonómica competente. Sin embargo, se recomienda implementar este registro con el fin de tener inventariados todos los tratamientos realizados en la entidad.
Análisis de riesgos: esta herramienta surge para el estudio de las diversas formas de tratamiento de datos, pudiendo optar por unas medidas de seguridad u otras, en función del riesgo que genere la información tratada. Así, desaparece el sistema de calificación de “bajo, medio o alto” de sensibilidad y riesgo de los datos, tomándose en consideración para la toma de medidas, la naturaleza de éstos, los costes de la aplicación y los fines del tratamiento.
Evaluación de impacto: a colación de la anterior, es otro mecanismo que permite identificar y evaluar los riesgos, siendo de carácter preventivo, para evitar posibles quiebras de seguridad. En este caso, es la Autoridad de Control la que señalará qué tratamientos requieren o no la evaluación de impacto, aunque el propio reglamento reseña algunos en los que es obligatoria esta herramienta.
Comunicación de quiebras de seguridad: antes no era obligatorio, pero, desde la entrada en vigor del RGPD, deberá hacerse en un plazo máximo de 72 horas desde que se supo de la misma. Además, siempre y cuando sea necesario y posible, se deberá notificar a los afectados.
Privacidad desde el diseño y por defecto: esta categoría se incluye con la finalidad de que se den las formas y procedimientos necesarios para el tratamiento de los datos durante todo el proceso, utilizando sólo aquellos de los que precise la organización. Este mecanismo hay que entenderlo en relación con la responsabilidad proactiva, citada anteriormente.
Derechos de los afectados: además de los antiguos derechos ARCO (acceso, rectificación, cancelación y oposición), el nuevo reglamento añade otros como supresión u olvido, transparencia, limitación en el tratamiento de datos y portabilidad de estos. No nos debemos olvidar del derecho de información en la recogida de datos, que debe ser conciso, transparente, inteligible y de fácil acceso y lenguaje.
Encargado del tratamiento: se requiere un personal formado en función del tipo de datos a tratar. Por otra parte, respecto al tipo de contrato con el encargado, la normativa europea señala que, además, deberá incluir las instrucciones del responsable del tratamiento, el deber de confidencialidad, las medidas de seguridad, el régimen de subcontratación, asistencia del responsable al encargado y su colaboración para cumplir las obligaciones pactadas y el destino de los datos cuando la prestación finalice.
Delegado de Protección de Datos: la principal novedad del reglamento; una figura a caballo entre el encargado y el responsable, que deberá informar y asesorar sobre los tratamientos, además de supervisarlos y colaborar con la Autoridad de Control. Será obligatoria para todas las entidades públicas, pudiendo ser contratado interna o externamente o, en las administraciones pequeñas, articulada desde las diputaciones provinciales o comunidad autónoma respectiva. Su perfil es el de un profesional del derecho, preferiblemente con amplia experiencia en el sector o, al menos, con formación previa acreditada y certificada.
Transferencias internacionales de datos: último punto novedoso del reglamento. Debido a los últimos avances tecnológicos, la transferencia o acumulación de datos vía “nube” es hoy, más que una realidad, el pan de cada día. Es, por ello, que la legislación de la antigua ley de protección de datos necesitaba una revisión concienzuda. En este caso y respecto de las administraciones públicas, el reglamento señala en qué casos es necesaria o no la previa autorización del afectado para la transmisión de sus datos, teniendo que informar al mismo según el caso.
Hacia una nueva Ley Orgánica de Protección de Datos
Tras esta normativa, de obligado cumplimiento para los estados miembros de la Unión, la pelota está ahora del lado del legislador español, que suponemos no tardará mucho en adaptar el derecho a las nuevas exigencias sociales y legales a través de la nueva Ley Orgánica de Protección de Datos. Aconsejamos encarecidamente la puesta al día, pues se acerca la fecha límite y lo mejor es no arriesgarse a una posible sanción.
Desde SISTEMIUS, realizamos esta pequeña revisión legal para su interés. Además, nos ponemos a su disposición para asesorarles a este respecto. No duden en consultarnos.
Jorge Mora Dorta
Sistemius