Ya tenemos aquí el nuevo Reglamento. El pasado 4 de mayo de 2016 se publicó en el Diario Oficial de la Unión Europea el Reglamento UE 2016/679, el Reglamento General de Protección de Datos de la Unión Europea o hablando con propiedad:
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (Texto pertinente a efectos del EEE).
Entrará en vigor el 25 de mayo de 2018. Hasta entonces tendremos tiempo de asimilar sus novedades, preparar los cambios y los Estados miembros y las autoridades de control se pronunciarán sobre aquellos aspectos que el Reglamento ha dejado pendientes de desarrollo.
No obstante vayan por delante algunas reflexiones:
- Quien venga haciendo un cumplimiento riguroso de la LOPD y siga las recomendaciones e interpretaciones que nuestra Agencia Española de Protección de Datos ha venido haciendo, le costará mucho menos el cambio a la nueva regulación que en realidad redunda sobre muchos aspectos que se venían comentando desde hace tiempo.
- Quien crea que la privacidad se reduce a unos ficheros inscritos y a un Documento de Seguridad, no sólo está equivocado sino que puede estar poniendo en riesgo su organización: la cultura de la privacidad de las organizaciones es el verdadero fin del nuevo Reglamento de protección de datos; los tratamientos de datos deben respetar los derechos de los interesados y en cada organización dicho respeto debe formar parte de su cultura.
- Podemos ir adelantando algunas cuestiones en los cumplimientos diarios, muchos de ellos vinculados con los deberes de información, transparencia y petición de los consentimientos.
¿Qué podemos ir haciendo?
Sin ser demasiado exhaustivos hay tres aspectos sobre los que toda organización debería reflexionar:
- La forma en la que informa y sobre lo que informa. Además de lo que establece el artículo 5 de la LOPD, podemos ir informando sobre:
- el tiempo durante el cual se guardarán los datos. El borrado (previo bloqueo) de los datos sigue siendo una asignatura pendiente y el interesado tiene derecho a saber durante cuánto tiempo se guardarán sus datos.
- Los datos de contacto del delegado de protección de datos (en el caso que sea necesario ya que la figura del delegado ha quedado reducida a casos muy específicos según explicaremos más adelante). Ojo no debe confundirse el Delegado de Protección de datos (DPO) con el responsable de seguridad actual.
- La intención de transferir datos a un tercer país (transferencia internacional)
- El derecho a presentar una reclamación ante una autoridad de control
- La existencia de decisiones automatizadas (p.e. elaboración de perfiles) y sus consecuencias
- Si los consentimientos son específicos para cada finalidad: aunque este es un criterio en el que la Agencia Española de Protección de Datos ya ha insistido, continuamos encontrando situaciones en las que el interesado no puede separar su consentimiento para finalidades distintas por ejemplo: en un proceso de compra online una cosa es el consentimiento para la compra en sí, otra el consentimiento para el envío de comunicaciones comerciales y otro el de la cesión de datos a terceros. Redactar unos buenos formularios puede ayudar a que el tratamiento de datos se haga de forma transparente y plenamente consentido.
- Relaciones de encargo de tratamiento: no es nuevo pero el Reglamento da una vuelta más a la responsabilidad en la elección del encargado. Se deduce por tanto que no basta suscribir un contrato (que también) sino que la elección en si misma debe realizarse siendo consciente de su trascendencia. En el contrato se recogerán además los tiempos y las medidas de seguridad (nuestra Agencia ya lo venía recomendado pero ahora se especifica).
Sin extendernos mucho más destacamos que desaparece la obligación de declarar los ficheros aunque no la de llevar un registro de los mismos, es decir, según establece el propio Reglamento: “Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad“. Dicho registro debe contener la información que más o menos contienen ahora las declaraciones de los ficheros por lo cual, lo que se suprime es la obligación formal de comunicar esos tratamiento pero no la de tenerlos perfectamente identificados.
En próximos posts iremos desmenuzando el Reglamento que sin duda suscitará preguntas y consultas.
Comentarios
No hay comentarios