Saltar al contenido principal

Aplicación del nuevo Reglamento europeo de protección de datos

El  25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), aunque su aplicación efectiva no se producirá hasta el 25 de mayo de 2018.

Indicamos a continuación las principales novedades del RGPD respecto de la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD):

1. Obtención del consentimiento para el tratamiento de datos

  • El RGPD mantendrá los mismos principios del consentimiento que establece la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco. Sin embargo, como novedad respecto de la LOPD, indica que para poder considerar que el consentimiento es inequívoco, deberá existir  una declaración del interesado o una acción positiva que manifieste su conformidad. El silencio, las casillas ya marcadas o la inacción no constituirán prueba de consentimiento (Considerando 32 del RGPD).

Se establecen asimismo condiciones específicas para obtener el consentimiento de los menores: no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será menos de 13 años.

  • Recomendaciones: Es aconsejable se revisen  la forma en la que se recaba el  consentimiento y se eliminen las prácticas que se encuadran en el llamado consentimiento tácito.  Asimismo, en relación con el tratamiento de datos de menores, hay que aplicar  los requisitos de edad establecidos en el RGPD.

2. Deber de información

  • El Reglamento establece la obligación de informar sobre nuevos aspectos. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, el período de conservación de los mismos y que los interesados podrán dirigir sus reclamaciones a las Autoridades de protección de datos, si consideran que hay un problema con la forma en que están manejando sus datos.  En lo que respecta al interesado cuyos datos se han obtenido de otra fuente, la información anteriormente indicada deberá facilitarse en el plazo de máximo de un mes (en lugar de los tres meses indicados en la LOPD).
  • Recomendación: Hay que revisar los contenidos de las leyendas legales que se hayan incorporado en los procesos de recogida de datos (on line/ off line) para ir adecuando la redacción a los nuevos requerimientos del RGPD 

3. Derechos de los interesados 

En el RGPD se incluyen, además de los que se contemplaban en  la normativa anterior, los siguientes derechos:

    • Derecho a la transparencia de la información,
    • Derecho de supresión (derecho al olvido),
    • Derecho de limitación,
    • Derecho de portabilidad.

Otra novedad, respecto de la LOPD, es que se establece la obligación para el responsable del tratamiento de proporcionar medios para que las solicitudes de ejercicio de derechos se presenten por medios electrónicos, en particular cuando los datos personales se hayan recabado a través de estos medios (Considerando 59).

  • Recomendaciones:  Se comiencen a implementar en los  procedimientos de información (leyendas legales incluidas en los procesos de recogida de datos de carácter personal) los nuevos derechos que asisten a los interesados.

4. Evaluación de impacto del tratamiento de datos personales

  • Se establece  la obligación de realizar una evaluación de impacto (Privacy Impact Assesment) para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas, en la que se evalúe el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo (Considerando 84 del RGPD).
  • Recomendaciones: En 2014, la Agencia Española de Protección de Datos publicó la Guía para una Evaluación de Impacto en la protección de Datos Personales. Se trata de un documento de referencia de bases y aspectos esenciales que deberán tener en cuenta en el proceso de la evaluación de impacto que deberán realizar.

??5. Comunicación de fallos a la autoridad de protección de datos

  • Se trata de una nueva obligación del RGPD que impone al responsable del tratamiento la obligación de notificar los fallos de seguridad que se produzcan en su organización, a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas. El responsable del tratamiento debe contar con un sistema efectivo para realizar el reporte a la AEPD o para comunicar el fallo a los afectados si existe algún riesgo para sus derechos.
  • Recomendaciones:  Se han de establecer procesos internos para canalizar las comunicaciones de brechas de seguridad o incidentes que afecten a la protección de datos. Estas comunicaciones internas deben realizarse a la persona que asumirá la figura de Delegado de Protección de Datos, en su defecto, a la persona encargada de coordinar el cumplimiento de la normativa de protección de datos.

6. Registro de tratamiento de datos

  • Según lo previsto en el artículo 30 del RGPD, las organizaciones que habitualmente realicen tratamiento de datos de riesgo para la privacidad de los interesados,  o traten datos sensibles, deberán contar con un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener información relativa, entre otros aspectos, a los tratamientos de datos que se realicen, los datos personales que se traten, los destinatarios de los datos, los plazos previstos para la supresión, la finalidad de dicho tratamiento y las medidas técnicas y de seguridad adoptadas por la empresa para realizar dicho tratamiento.
  • Recomendaciones: Las organizaciones que traten datos de riesgo para la privacidad de los interesados o traten datos sensibles,  de momento pueden integrarse este registro en el Documento de Seguridad, hasta que la Agencia Española de Protección de Datos facilite instrucciones concretas acerca del formato y gestión de este registro interno.

7. Aplicación de medidas de seguridad 

  • El RGPD ya no distingue entre ficheros de nivel básico, medio o alto, sino que especifica que las medidas de seguridad se aplicarán teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. La nueva legislación habla de “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al riesgo, pero no concreta qué tipo de medidas deben aplicarse, a diferencia de lo que ocurre con el actual RLOPD que describe de manera detallada cada medida de seguridad que debe implementar el responsable del tratamiento.
  • Recomendaciones: Se puede mantener  actualizado el Documento de Seguridad, siempre que las medidas técnicas y organizativas sean adecuadas para garantizar la seguridad, integridad y privacidad de la información de carácter personal tratada.

8. Delegado de protección de datos (dpo)  

  • Se introduce la nueva figura del Data Protection Officer o Delegado de Protección de Datos, que asume nuevas y cualificadas competencias en materia de coordinación y control del cumplimiento de la normativa de protección de datos.  Sus funciones se centran en:
    • Informar y asesorar al responsable del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el Reglamento General. Debe dejar constancia en papel de las comunicaciones con el responsable del tratamiento y sus respuestas.
    • Supervisar la aplicación de las normas por el encargado del tratamiento en materia de protección de datos personales. Dentro de este apartado se incluyen: asignación de responsabilidades, formación del personal y auditorías correspondientes.
    • Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
    • Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella por solicitud de las mismas o por iniciativa propia.
    • Ejercer de punto de contacto con la autoridad de control sobre cuestiones relacionadas con el tratamiento de datos personales.

Dicha figura será obligatoria cuando:

- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de datos a gran escala; o

- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.

  • Recomendaciones: Sería conveniente que se designara ya esta figura, con el fin de que el DPO inicie el proceso de implementación de las novedades legislativas del RGPD  de manera progresiva, así como para que vaya difundiendo en la organización los nuevos procedimientos internos.

9. Privacidad desde el diseño y por defecto, códigos de conducta y esquemas de certificación

  •  Se avanza un paso más para reforzar el concepto de accountability empresarial, es decir, la responsabilidad proactiva en el  cumplimiento normativo. Para ello, el RGPD establece la privacidad desde el diseño y por defecto, con el fin de que se garantice el cumplimiento con carácter previo al tratamiento de datos y durante dicho tratamiento. Asimismo, el RGPD propone como mecanismos efectivos de verificación del cumplimiento,  la adhesión a códigos de conducta o a mecanismos de certificación (artículo 42.3 del  RGPD).
  • Recomendación: Las organizaciones que tengan procesos complejos de tratamiento de datos o manejen datos especialmente sensibles, implementaran  protocolos internos o procesos de certificación que faciliten y garanticen el cumplimiento del RGPD.

RESPONSABLE DEL CONTENIDO: DIRECCIÓN DE SERVICIO DE ASISTENCIA JURÍDICA 

Fecha actualización: 24 de Mayo de 2018

© Ayuntamiento de Jerez • C/ Consistorio 15 • 11403 • 956 14 93 00 • Mapa del sitio • Contacto • Aviso legal • Accesibilidad