El 27 de abril de 2016 se aprobó el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos). El mismo entró en vigor a nivel europeo el día 25 de mayo de 2016 (a los veinte días de su aprobación). Ahora bien, no será aplicable en los Estados miembros hasta dos años después de su entrada en vigor, es decir, hasta el día 25 de mayo del año 2018.
La modificación de la actual Ley Orgánica de Protección de Datos, para adecuarla a lo dispuesto en el mencionado Reglamento, ya ha iniciado su camino, pero todavía está en ciernes. Ahora bien, independientemente de que el legislativo español adecue o no la normativa a lo dispuesto en el Reglamento, éste comenzará a aplicarse en mayo de 2018. Es decir, dentro de un año, todas las empresas deberán haber modificado su política de protección de datos para adaptarla a lo dispuesto en el Reglamento. En caso contrario, se arriesgarán a ser objeto de aplicación del nuevo régimen sancionador previsto en el Reglamento. Así, por ejemplo, en el caso de que una empresa no obtenga el consentimiento en los términos en que exige el Reglamento, la misma puede enfrentarse a una sanción por importe de 20 millones de euros o de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
El Reglamento no se limita a incluir modificaciones en la legislación actual, sino que constituye un nuevo sistema de protección de datos inspirado por principios diferentes y, valorando la importancia que tienen las modificaciones tecnológicas a las que se enfrentan las empresas europeas.
En el presente documento, se van a exponer sucintamente las modificaciones más relevantes introducidas en el Reglamento General de Protección de Datos.
1. Ámbito territorial de aplicación (artículo 3).
El Reglamento General de Protección de Datos, en su artículo 3, garantiza la existencia de una legislación unitaria en toda la Unión Europea. Hasta ahora, en Europa tenemos una regulación de la protección de datos de carácter personal diferente en cada uno de los países, y que depende del resultado del desarrollo de una Directiva de la Unión Europea del año 1995.
El Reglamento General de Protección de Datos se aplica a los tratamientos de datos personales realizados en el entorno de una persona jurídica o física establecida en la Unión, con independencia de que el tratamiento tenga lugar dentro o fuera de la Unión.
Igualmente se aplica al tratamiento de datos personales de residentes en la Unión efectuado por un “responsable o encargado no establecido en la Unión”, cuando las actividades de tratamiento estén vinculadas con:
– La oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago.
– El control de su comportamiento, en la medida en que tenga lugar en la Unión.
En definitiva, el ámbito de aplicación territorial enunciado por el Reglamento General de Protección de Datos es tan amplio que abarca un gran abanico de situaciones relacionadas con la Unión Europea.
2. Nuevo concepto de consentimiento.
Hasta ahora, la Ley Orgánica de Protección de Datos requería el consentimiento de los titulares de los datos para su tratamiento, pero no se recogía ninguna otra exigencia.
El Reglamento General de Protección de Datos establece una regulación más exhaustiva sobre el consentimiento. Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco, en tanto que la Ley Orgánica de Protección de Datos únicamente exigía que el mismo fuera inequívoco. En primer lugar, en el artículo 13, detalla la información que se les debe dar a los afectados (así como a los trabajadores, o a cualquier interesado cuya información se vaya a recabar). En concreto, se deberá informar sobre los siguientes extremos:
– Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
– La identidad de los destinatarios o las categorías de destinatarios de los datos personales.
– La identidad del responsable de la gestión y si procede, del delegado de protección de datos.
– El plazo durante el cual se conservarán los datos personales.
– La existencia de un derecho a solicitar al responsable del tratamiento el acceso a los datos personales que haya facilitado, su rectificación o supresión, o la limitación de su tratamiento.
– La posibilidad a ejercitar el derecho a presentar una reclamación ante una autoridad de control.
– La existencia de decisiones automatizadas, incluida la elaboración de perfiles, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento.
– La intención de transferir sus datos personales a un tercer país u organización internacional.
Es decir, al contrario de lo que sucede con la aplicación de la normativa actual, ya no será suficiente con una mera explicación genérica. Con la aplicación del Reglamento General de Protección de Datos, será necesario informar de manera clara, sencilla, pero completa de todas y cada una de las cuestiones expuestas.
El consentimiento ha de ser claro y expreso y, además, en el caso de tratamientos no relacionados directamente con el servicio prestado, deberá ser específico.
Para poder considerar que el consentimiento es inequívoco el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.
Igualmente, se prevé que el consentimiento tiene que ser explicito, por lo tanto, ya no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.
Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.
3. Privacidad desde el diseño y privacidad por defecto.
La privacidad desde el diseño se enuncia en el artículo 25 del Reglamento como una obligación. Atendiendo a lo dispuesto en el considerando 78, lo podemos adoptar como la clave a seguir por el responsable del tratamiento para demostrar el cumplimiento legislativo, ya que, como se indica en dicho considerando “el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto”.
El mencionado artículo 25 establece unos criterios a considerar en la aplicación del principio de privacidad desde el diseño y que son relativos a lo siguiente:
– El estado de la técnica; – El coste de la aplicación;
– La naturaleza, ámbito, contexto y fines del tratamiento, así como
– Los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas.
Es decir, se puede afirmar que el principio de protección de datos desde el diseño debe ser uno de los ejes sobre los que desarrollar un programa de compliance en materia de protección de datos, de manera que la gestión del riesgo que implica todo tratamiento de datos personales sea considerada en el momento mismo de la concepción de una idea que dé lugar al diseño o desarrollo de aplicaciones, servicios y productos.
En definitiva, la protección de datos desde el diseño es una cuestión estratégica que, tanto el responsable como el encargado del tratamiento (aunque especialmente el primero), deben valorar para asegurar el derecho fundamental a la protección de datos mediante la adopción e implementación de medidas técnicas y organizativas que consideren en la persona, titular de los datos, desde el principio o, incluso, desde el momento mismo en el que se genera una idea que pueda dar lugar a una aplicación, servicio o producto.
4. Evaluación del impacto de privacidad.
Relacionado íntimamente con lo anterior, el Reglamento General de Protección de Datos establece la obligación de redactar y preparar un registro de tratamientos, en el que se incluyan todos los tratamientos de datos personales que se vayan a realizar por el encargado del tratamiento. Además, en el registro, se debe valorar el riesgo que entraña cada uno de ellos.
Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos para la protección de datos similares.
El objetivo que se persigue mediante la evaluación de impacto de privacidad es analizar e identificar los riesgos que un determinado sistema de información, producto o servicio puede entrañar para la protección de datos.
La evaluación de impacto relativa a la protección de los datos se requerirá en particular en caso de:
a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de
perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
c) observación sistemática a gran escala de una zona de acceso público.
La evaluación deberá incluir como mínimo:
a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y
d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
¿Cómo debe hacerse?
– Debe llevarse con anterioridad a la implantación del nuevo producto, servicio o sistema.
– Debe ser sistemático y debe estar orientado a llevar a cabo una efectiva revisión de los procesos.
– Debe permitir una identificación clara de los responsables de las distintas tareas.
– Debe identificar y clasificar la información para determinar los datos personales que se tratan y sus características.
– Debe identificar quién y cómo tendrá acceso y tratará los datos personales.
– Deben participar todos los afectados por el proyecto en cuestión.
– Se deben describir los controles que se van a implantar para asegurar 1) que sólo se tratarán los datos personales necesarios 2) que solo se tratarán para las finalidades legítimas previstas y definidas.
Fases principales recogidas en la Guía del Reglamento General de Protección de Datos para responsables del tratamiento que deben llevarse a cabo para realizar una correcta Evaluación:
1) Fase previa: Análisis de la necesidad de la Evaluación: ¿Es necesario realizar la Evaluación? (la Guía incluye una relación indicativa de las situaciones en las que sería aconsejable llevarla a cabo).
2) Determinación del equipo de trabajo y términos de referencia: Es conveniente que el equipo de trabajo esté conformado como mínimo por: representante del área de negocio y del producto involucrado, representante del departamento de TIC y delegado de protección de datos. Igualmente debe determinarse las funciones de cada uno de los miembros y definir el proyecto.
3) Descripción del proyecto y de los flujos de información: Principales características del proyecto y objetivos, participantes, categoría de los datos, perfiles de acceso a la información…
4) Identificación y evaluación de riesgos: análisis de la documentación, seguimiento del ciclo de vida de los datos personales, usos y finalidades de tratamiento de los datos, tecnología utilizada e identificación de usuarios de la misma, identificación de riesgos (la Guía incluye un listado orientativo de riegos habituales o posibles), considerando dos categorías principales, los que afectan a las personas y los que afronta la organización.
5) Consulta con las partes afectadas (internas y externas): por ejemplo, si los servicios previstos tratan datos de los empleados, será obligatorio incluir a los representantes de los trabajadores en las consultas internas.
6) Gestión de riesgos identificados: Una vez identificados los riesgos debe procederse a su gestión, en los términos recogidos en la Guía elaborada por la Agencia Española. Igualmente, si existe un incumplimiento de alguna normativa, se debe eliminar el tratamiento de datos que supone el riesgo.
7) Análisis de cumplimiento de normativa: verificar el cumplimiento de la LOPD y del RLOPD.
8) Informe final: El equipo responsable de la Evaluación deberá emitir el informe final que recoja, de la manera más sencilla y concisa posible los aspectos principales del proyecto y de la evaluación realizada.
9) Implantación de recomendaciones
10) Revisión de resultados y retroalimentación.
Se incluye también una novedad respecto a las comunicaciones con las autoridades y con los titulares de los datos personales. Las brechas de seguridad que se produzcan, según lo establecido en el nuevo Reglamento, se deben comunicar a las autoridades en el plazo de 72 horas. Asimismo, se deberán comunicar igualmente a los afectados, a los que deberá informar de la naturaleza de la violación de la seguridad y de las recomendaciones para que se puedan mitigar los potenciales efectos adversos.
Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
En caso de incumplimiento de la obligación de comunicar podrán llegar a imponerse multas por importe de 10 millones de euros o de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
5. Delegado de protección de datos.
Se crea una nueva figura, regulada en el artículo 37, que se deberá instaurar en las empresas que se encuentren en alguno de los supuestos del párrafo primero y que el Reglamento denomina Delegado de Protección de Datos. Quien se designe Delegado de Protección de Datos debe ser una persona con conocimientos especializados en Derecho y, en concreto, en materia de protección de datos. Estos Delegados pueden ser o no empleados pero, de cualquier forma, deben desempeñar sus funciones con total independencia.
Las funciones del Delegado de Protección de Datos, que se regulan en el artículo 39 del Reglamento, son las siguientes:
– Informar y asesorar al responsable del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el Reglamento General de Protección de Datos.
– Supervisar la aplicación de las normas por el encargado del tratamiento en materia de protección de datos personales (asignación de responsabilidades, formación del personal, auditorías, etc.).
– Supervisar la aplicación del Reglamento General de Protección de Datos y, en particular, los requisitos relativos a la protección de datos.
– Velar por la conservación de la documentación.
– Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
– Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella, por solicitud de las mismas o por iniciativa propia.
– Ejercer de punto de contacto con la autoridad de control sobre cuestiones relacionadas con el tratamiento.
En definitiva, el Delegado de Protección de Datos velará porque se cumpla la normativa de protección de datos en las empresas. Es decir, es un instrumento más que contribuye a la prevención del incumplimiento de la normativa sobre protección de datos.
Igualmente, se establece en la normativa que el delegado de protección de datos no será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones.
6. Régimen sancionador.
Una de las modificaciones más notables es la introducción de un régimen sancionador agravado con respecto a la Ley Orgánica de Protección de Datos, que comenzará a ser aplicable a todos aquellos que no hayan adecuado su actividad a lo dispuesto en el Reglamento de Protección de Datos antes de mayo de 2018.
Las sanciones previstas en el Reglamento General de Protección de Datos van hasta los 20 millones de euros, o el 4% de la facturación global anual del ejercicio anterior (la que resulte más elevada de las dos).
7. Derechos de los ciudadanos.
Se amplían los derechos de los ciudadanos. Hasta ahora existían los denominados derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Pues bien, el nuevo Reglamento contiene los siguientes:
– Transparencia: que se concreta en la obligación de adoptar todas las medidas que sean necesarias para facilitar al interesado toda información indicada en los artículos 13 y 14 (derecho de información).
– Información: obligación de facilitar al interesado la información exigida en el artículo 13 del Reglamento cuando se obtengan sus datos personales. Igualmente, debe facilitarse determinada información en aquellos casos en los que los datos no se han obtenido directamente del interesado, que es la que queda recogida en el artículo 14.
– Acceso: derecho a conocer confirmación de si se están tratando o no datos personales que le conciernen y una serie de información.
– Rectificación: rectificación de los datos personales inexactos que le conciernan.
– Supresión o derecho al olvido: supresión de los datos personales que le conciernan cuando concurra alguna de las circunstancias del artículo 17 del Reglamento.
– Limitación al tratamiento: en determinadas circunstancias el interesado tiene derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos.
– Portabilidad de datos: El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.
– Oposición: derecho a oponerse al tratamiento de datos.
Conclusiones.
Las modificaciones introducidas en el Reglamento General de Protección de Datos suponen una concepción diferente de la protección de datos en el ámbito europeo. El Reglamento del Parlamento Europeo introduce conceptos novedosos, que implican novedosas obligaciones para las empresas. Sobre todo, se debe recordar que el Reglamento persigue un control previo y eficaz de la protección de datos, y por ello, ya no se persigue tan sólo la resolución de los peligros creados, sino que dichos peligros no se originen, y que las empresas, mediante un sistema eficaz de compliance, puedan evitar las posibles amenazas a la seguridad. Es decir, la nueva regulación requiere que las empresas realicen un verdadero esfuerzo para asegurar su cumplimiento. En este sentido, ya no es suficiente con una mera observación de lo dispuesto en la Ley Orgánica de Protección de Datos, sino que los operadores que traten datos de carácter personal deben contar con un sistema de prevención eficaz.
Para concluir, únicamente nos queda informar de que con fecha 23 de junio de 2017 ha sido impulsado por el Consejo de Ministros el Anteproyecto de la nueva Ley Orgánica de Protección de Datos de Carácter Personal. No obstante ello, la plena exigibilidad del nuevo Reglamento a todas las empresas que operen en los Estados miembros en mayo de 2018 por ser normativa de directa aplicación, obliga a que las empresas establezcan cuanto antes una agenda de adaptación que deberá correr en paralelo al procedimiento de aprobación de la citada nueva ley.
