La rápida evolución tecnológica de los últimos años y la globalización han sido los motores de este cambio legislativo que dejará sin efecto la Directiva 95/46/CE y que se convierte en el texto de referencia en materia de privacidad en la Unión Europea.
La posibilidad de recopilación, almacenamiento y tratamiento de gran cantidad de datos en general exigían un marco regulatorio más sólido, acorde con el estado tecnológico y coherente y armónico para todos los países.
Lo que parece claro es que debemos decir adiós (para quienes no lo hubieran hecho antes) a los cumplimientos formales y realizar una reflexión real y profunda de cómo se garantiza la privacidad en las organizaciones: no basta declarar unos ficheros o contar con documentos que nadie se lee, la privacidad ha de ser un principio básico que presida la filosofía corporativa.
¿Cuándo entrará en vigor?
Tan pronto se publique en el Diario Oficial de la Unión Europea habrá que contar DOS AÑOS, es decir en el año 2018.
¿Cuáles son las novedades más importantes?
Aunque son muchas y las iremos desglosando por temas en los próximos posts, señalamos a continuación algunas de las más importantes:
1.- La privacidad por diseño y por defecto
Existirá la obligación de realizar una evaluación de impacto antes de realizar un tratamiento de datos, una evaluación consistente en valorar qué riesgos entraña dicho tratamiento, las medidas que se adoptarán y en las cautelas que habrá que adoptar, entre otras la seudoanonimización de los datos, la transparencia en la información al interesado, las medidas de seguridad…
En determinados casos el propio responsable deberá notificar a la autoridad de control la existencia de dicho tratamiento y el riesgo que conlleva.
Quien todavía cree que la protección de datos se basa en un cumplimiento formal, puede ir despidiéndose de esta idea pues se trata de garantizar un derecho fundamental, hacer un traje a medida y ser conscientes en cada caso, en cada negocio, en cada tratamiento de datos que los riesgos son completamente distintos y deben ser abordados de forma individual.
2.- Transparencia en el tratamiento de datos
Si hay un principio que presida el nuevo Reglamento, este es el de la transparencia. El interesado, es decir, el titular de los datos tiene derecho a conocer que sus datos personales están siendo tratados, los fines de dicho tratamiento, la identidad de quien lo trata y de los destinatarios de su información personal, el tiempo durante el que permanecerán guardados, etc.
El tratamiento de los datos debe ser TRANSPARENTE, LÍCITO Y LEAL.
Este principio se traduce en obligación de información clara, especialmente en el entorno online donde se recogen gran cantidad de datos sin informar al usuario de lo que se va a hacer con sus datos.
El principio de calidad de nuestra LOPD se traslada a la obligación de que los datos sean adecuados, pertinentes y limitados a lo necesario en relación con la finalidad para la que son recogidos y tratados.
El consentimiento para el tratamiento deberá ser CLARO Y AFIRMATIVO.
3.- Derecho a la portabilidad de los datos
Esta es una novedad que nos ayudará enormemente a los usuarios en los cambios de compañía, entidad financiera etc y es el derecho a obtener todos nuestros datos para poder trasladárselos al nuevo responsable. Veremos en la práctica si esta obligación para los responsables de los tratamientos se ejecuta correctamente.
4.- Régimen sancionador
Nos plantea la nueva regulación un salto cuantitativo importante: máximos de hasta 20 millones de euros o el 4% de la facturación mundial de la compañía.
Evidentemente las sanciones se impondrán atendiendo a criterios de proporcionalidad, naturaleza de la infracción, de la intencionalidad o negligencia en el tratamiento, las medidas que se hayan adoptado para paliar el impacto de la ilicitud y en general la diligencia que exhiba el responsable o el encargado de tratamiento en el tratamiento de datos.
No obstante, las cifras son realmente abrumadoras y ponen de manifiesto la repercusión que para una compañía puede tener un tratamiento de datos inadecuado.
5.- Derecho al olvido
Un derecho ya consagrado por el Tribunal de Justicia de la Unión Europea en su Sentencia de 13 de mayo de 2014 que adquiere carta de naturaleza en este nuevo texto. Se trata ni más ni menos del derecho a exigir la supresión de los datos cuando estos dejan de servir para los fines para los que fueron recabados. En la práctica plantea problemas de aplicación cuando un responsable de tratamiento ha hecho públicos los datos y estos son recogidos por otros responsables (recordemos el caso que dio lugar a la famosa Sentencia).
6.- Ventanilla única
Una gran ventaja del Reglamento. Especialmente cuando un responsable de tratamiento tiene sede en diferentes países.
Un interesado podrá reclamar ante una autoridad de control única (la de su residencia habitual). Todas las autoridades de control tendrán idénticas funciones.
7.- La figura del Data Protection Officer (DPO) o Delegado de Protección de Datos
Una de las grandes incógnitas, por fin despejada.
La figura de un Delegado de Protección de Datos (con funciones parecidas al Responsable de Seguridad actual) será obligatorio sólo en determinados casos:
- Cuando se realice tratamiento de datos a gran escala que requieran un seguimiento habitual y sistemático de los interesados.
- Cuando la actividad principal del responsable del tratamiento consista en tratamiento a gran escala de categorías especiales de datos
Muchas grandes empresas ya han adoptado esta figura que se convierte, a nuestro juicio, en imprescindible aunque no se realice dichos tratamientos.
La existencia de una figura que vele por el cumplimiento y garantía de la privacidad es, en sí mismo, un indicativo que al responsable del tratamiento le “importa” hacer las cosas bien.
Se abre igualmente un nuevo campo de oportunidades profesionales en las empresas.
8.- Supresión de la obligación de declarar los ficheros
Una de las ausencias menos discutidas del Reglamento. Si se pregunta a muchas empresas (sobre todo pequeñas), muchas creen erróneamente que el cumplimiento de la actual LOPD pasa únicamente por la comunicación de los ficheros a la Agencia Española de Protección de Datos: nada más lejos de la realidad. Y tal es así que el nuevo Reglamento, mucho más exigente, mucho más garantista, suprime esta obligación subrayando la necesidad de huir de cumplimientos “formales” y asumir la protección de la privacidad como un conjunto de medidas y de filosofía común en las compañías.
9.- Obligación de comunicar brechas de seguridad
Si se producen fallos en la seguridad que pongan en riesgos la confidencialidad de los datos, los responsables están obligados a comunicar este extremo tanto a la autoridad de control como a los propios afectados tan pronto como sea posible (pensemos por ejemplo en un fallo de seguridad en una red social o en sistemas de mensajería).
10.- Régimen de los encargados de tratamiento
La responsabilidad de los encargados de tratamiento no es nueva pero sí aparece reforzada a lo largo del articulado del Reglamento.
Elegir bien a los colaboradores, exigirles un adecuado cumplimiento y valorarlos en los informes de evaluación de impacto serán claves para acreditar esa “diligencia exigible” a los responsables de los tratamientos.
El Reglamento es un texto prolijo y amplio. Presumiblemente no se eliminará la legislación local en aquellos aspectos no regulados (pensemos por ejemplo en las medidas de seguridad). En los próximos dos años tendremos la posibilidad de ir adaptándonos, realizar los cambios que sean necesarios y sobre todo conocer cómo va a interpretar nuestra Agencia Española de Protección de Datos los mandatos del Reglamento.
Seguiremos informando y como siempre, quedamos a disposición de los lectores en derechodigital@herrero.es
Comentarios
No hay comentarios