Reglamento general de protección de datos

[et_pb_section bb_built=»1″][et_pb_row][et_pb_column type=»4_4″][et_pb_text _builder_version=»3.3.1″ text_orientation=»justified»]

A partir del día 25 de mayo de 2018 la actual normativa de protección de datos dejará de aplicarse, y en su lugar se aplicará el Reglamento UE 2016/679, General de Protección de Datos (RGPD). También se aplicará una nueva Ley de Protección de Datos, que especificará y complementará ciertas partes del RGPD, pero sin modificarlo.

El nuevo RGPD contiene muchos conceptos y principios similares a la normativa vigente hasta ahora. Sin embargo, también modifica algunos aspectos del régimen actual y contiene nuevas obligaciones a las que, sea cual sea su actual grado de cumplimiento de la normativa anterior, deberá adecuarse cuanto antes, ya que a partir del 25 de mayo no existirá ningún período de gracia adicional.

QUÉ SE ENTIENDE POR DATOS PERSONALES

Por datos de carácter personal se entiende únicamente cualquier información que identifica o que hace posible la identificación de una persona física.

Esta normativa no se aplica a los datos de personas jurídicas. Por tanto, si únicamente se tienen recopila- dos datos de sociedades limitadas o anónimas (como su denominación, domicilio, teléfono…), no habrá obligación de cumplir las obligaciones del RGPD.

Ahora bien, si junto con los datos de una persona jurídica también se dispone de los datos de la persona física de contacto, sus datos también estarán sometidos al cumplimiento de la nueva normativa.

Es o sí, se presume, salvo prueba en contrario, que el tratamiento de datos de contacto de las personas físicas que presten servicios en una persona jurídica es lícito siempre y cuando se cumplan los dos siguientes requisitos:

  • Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
  • Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier clase con la persona jurídica en la que el titular de los datos preste sus servicios.
  • Los datos de empresarios individuales (autónomos) estarán sujetos a estas mismas reglas.

Finalmente, las obligaciones en materia de protección de datos no se aplican cuando el tratamiento de datos personales se realiza en el ejercicio de actividades exclusivamente personales o domésticas. Por ejemplo, si de manera particular se mantiene una agenda con contactos personales.

¿DE QUÉ DEBE INFORMAR A LOS INTERESADOS?

Si su empresa obtiene datos personales (de clientes, trabajadores, usuarios de su página web…), está obligada a informar al interesado de los tratamientos o usos que va a realizar con esos datos. La obligación de informar corresponde a su empresa si actúa como responsable del trata- miento. Este derecho de información de los interesados es esencial, ya

INFRACCIONES Y SANCIONES

De acuerdo con el nuevo Reglamento, incumplir la normativa de protección de datos de carácter personal se sanciona con multas que pueden ser muy elevadas. En este sentido, el RGPD clasifica las infracciones en dos categorías:

  • Las menos graves se sancionan con hasta 10 millones de euros o el 2{8385b154db78b2ef4d8d12467dd0cf7f29203b57af38a3a35db8d8108992415f} del volumen de facturación anual de la empresa (la más alta de las dos).
  • Y las más graves se sancionan con multas que pueden alcanzar hasta 20 millones de euros o el 4{8385b154db78b2ef4d8d12467dd0cf7f29203b57af38a3a35db8d8108992415f} del volumen de facturación anual de la empresa (la más alta de las dos).

Tenga en cuenta que el régimen sancionador se aplica a los responsables y encargados del tratamiento.

En cambio, no se aplica al delegado de protección de datos.

Para fijar la cuantía de la sanción (dentro de los márgenes establecidos para cada una de las infracciones) se tienen en cuenta una serie de criterios de graduación (por ejemplo, el volumen de negocio o actividad del infractor, el grado de intencionalidad, el que haya reincidencia o no, los perjuicios causados a las personas interesadas y a terceras personas…).

MEDIDAS DE SEGURIDAD

La normativa vigente hasta ahora establecía con detalle y de forma exhaustiva las medidas de seguridad que debían aplicarse según el tipo de datos objeto de tratamiento. En cambio, con el nuevo RGPD esta cuestión se modifica:

  • A partir de ahora, y tanto si usted es el responsable como el encargado del tratamiento, sigue estando obligado a adoptar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, según los riesgos que se hayan detecta do al realizar el análisis previo.
  • Sin embargo, el nuevo RGPD no especifica qué medidas de seguridad concretas hay que aplicar en cada caso, sino que éstas se deben determinar por el responsable o por el encargado según diversas variables: el estado de la técnica, los riesgos que existan para los derechos y liberta- des de los interesados, la naturaleza, el alcance, el contexto y los fines del tratamiento y los costes de aplicarlas

No obstante, la propia AEPD ha señalado que, en algunos casos, se pueden seguir aplicando las mismas medidas de seguridad que establece la normativa hasta ahora vigente si del análisis de riesgos se concluye que dichas medidas son idóneas para ofrecer un nivel de seguridad adecuado (en caso contrario, será necesario completar dichas medidas o prescindir de alguna de ellas).

NIVELES DE SEGURIDAD

En muchos casos se pueden seguir aplicando las mismas medidas de seguridad que establecía el Reglamento de Desarrollo de la LOPD, si estas ya ofrecen un nivel adecuado de seguridad. Por tanto, recuerde que dicha norma establece tres niveles de seguridad (básico, medio y alto), de- pendiendo de la naturaleza de los datos personales tratados.

Estos niveles de seguridad son acumulativos. Por tanto:

  • Los ficheros o tratamientos de datos de carácter personal de nivel básico sólo deben adoptar las medidas de seguridad de nivel básico.
  • Los ficheros y tratamientos de datos de nivel medio deben adoptar tanto las medidas de seguridad de nivel básico como las de nivel medio.
  • Los ficheros y tratamientos de datos de nivel alto deben aplicar las medidas previstas en los niveles básico, medio alto.

NIVEL ALTO

Son ficheros o tratamientos de nivel alto, entre otros, los que se refieren a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

Una de las medidas de seguridad que se debe implantar en estos ficheros de nivel alto (si son automatizados) es, por ejemplo, la del registro de accesos, de manera que quede registrado el usuario que ha intentado acceder al fichero, la hora, el fichero, el tipo de acceso y si dicho acceso ha sido autorizado o denegado.

NIVEL MEDIO

Son ficheros o tratamientos de nivel medio, entre otros, aquellos relativos a la prestación de servicios de solvencia patrimonial y créditos, aquellos de los que sean responsables entidades financieras para las finalidades relacionadas con la prestación de servicios financieros y aquellos que contengan un conjunto de datos que ofrezcan una definición de las características  o de la personalidad y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de las personas.

Una de las medidas que se debe implantar para estos ficheros o tratamientos de datos de nivel medio es la realización de una auditoría (interna o externa) cada dos años a fin de verificar que se cumplen las medidas de seguridad que exige la normativa de protección de datos.

NIVEL BÁSICO

Es un fichero o tratamiento de datos básico cualquier otro fichero distinto a los indicados que contenga datos de carácter personal.

Una de las medidas de seguridad de nivel básico (y que, por tanto, debe implantarse en todo tipo de ficheros automatizados) es que se establezca un procedimiento de asignación y distribución de contraseñas y que las contraseñas se cambien, al menos, una vez al año.

También se consideran de nivel básico los ficheros o tratamientos que contienen datos de nivel medio o alto sólo de forma accidental o accesoria, pero sin guardar relación con su finalidad. Por ejemplo, un hotel dispone de los datos de alergias alimentarias de un cliente. Éste es un dato de nivel alto por referirse a la salud, pero está en el fichero de forma incidental, pues la finalidad de dicho fichero es el hospedaje.

EL «DELEGADO DE PROTECCIÓN DE DATOS».

Características del «Delegado de Protección de Datos» (DPO).

Obligatorio en ciertos casos, pero recomendable en todos.

La figura del DPO (“Data Protection Officer”) ha sido objeto de intensos debates sobre su carácter obligatorio y universal para todas las entidades e instituciones. Finalmente el Delegado de Protección de Datos regulado en el Reglamento será un instrumento voluntario para el responsable y el encargado del tratamiento, aunque con excepciones, con el fin de velar por el cumplimiento legal y técnico en las entidades.

Conviene aclarar que el Data Protection Officer es una figura necesaria para las entidades, empresas, instituciones o cualquier agente que procese datos personales. Si bien en la práctica sería la persona ocupada de las cuestiones sobre protección de datos y privacidad, su designación no exime a la propia institución u organización de responsabilidad de cuanto se haga con los datos de las personas ni del cumplimiento de las normas del Reglamento.

Existe así la obligación de contratar un Delegado de Protección de Datos (DPO) en organizaciones e instituciones públicas y en entidades con más de 250 trabajadores. En el caso de entidades con menos de 250 empleados, será obligatorio el DPO cuando necesiten un seguimiento sistemático y periódico de los datos personales tratados para la monitorización o investigación de mercados, análisis de riesgos o datos crediticios o de solvencia patrimonial, así como cuando traten los citados datos catalogados de especialmente protegidos.

Funciones.

Las entidades podrán determinar y ampliar las funciones de los Delegados de Protección de Datos, que deberá tener al menos los siguientes cometidos:

  • informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de los datos personales de las obligaciones que les incumben en virtud del Reglamento y otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  • supervisar el cumplimiento de lo dispuesto en el Reglamento, en otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  • ofrecer el asesoramiento que se le pida acerca de la evaluación de impacto relativa a la protección de datos y supervisar su realización;
  • cooperar con la autoridad de control;
  • actuar como punto de contacto de la autoridad de control para las cuestiones relacionadas con el tratamiento de datos personales incluida la consulta previa, y consultar en su caso, sobre cualquier otro asunto.

Responsabilidades.

La principal responsabilidad del DPO consiste en garantizar el cumplimiento de la normativa de privacidad y protección de datos de su organización, institución, empresa o corporación.

El responsable y el encargado del tratamiento estarán obligados a designar un delegado de protección de datos para garantizar dicho cumplimiento normativo en los siguientes supuestos:

  • todas las organizaciones públicas, a excepción de los tribunales en ejercicio de la potestad jurisdiccional;
  • entidades que desarrollen «profilling» (registro y análisis de las características psicológicas y de comportamiento de una persona, a fin de evaluar o predecir sus capacidades en un determinado ámbito o para ayudar en la identificación de las categorías de personas),
  • entidades que requieran monitorización periódica y sistemática de los titulares de los datos a gran escala (desde solvencia patrimonial, investigación de mercados o en controles asociados a la productividad y hasta el análisis de riesgos),
  • entidades cuya actividad principal consista en tratamiento de categorías especiales de datos (datos que revelen el origen racial o étnico, ideología, religión o creencias filosóficas, afiliación sindical, datos genéticos, y el tratamiento de datos biométricos para identificar unívocamente a una persona, así como los relativos a la salud y vida y orientación sexual, y datos relativos a condenas y antecedentes penales) y cuando lo disponga el Derecho de la Unión o el del Estado miembro.

Competencia profesional.

La figura del DPO queda definida así para las entidades e instituciones:

  • Tendrán que ser profesionales que puedan acreditar formación y conocimientos especializados en materia de protección de datos.
  • Sus funciones básicamente serán asegurar el cumplimiento normativo de la protección de datos, haciendo compatible el funcionamiento de la organización, la consecución de los objetivos lícitos y legítimos de su actividad y la garantía del derecho a la protección de datos y la seguridad de la información.
  • El DPO será el interlocutor necesario con la Autoridad de Control de la Protección de Datos.
  • El DPO puede establecerse a través de contratación externa o mediante designación dentro de la plantilla de la organización.

Diferencia con el «responsable de seguridad.

Con la incorporación del DPO se pretende dar una mayor fuerza a la figura del Responsable de Seguridad, que es la persona que actualmente se debe asignar en las organizaciones para velar por el correcto cumplimiento de la normativa de protección de datos.

La diferencia más significativa entre el Responsable de Seguridad y el Delegado de Protección de Datos es la exclusividad de éste último en sus funciones.

El DPO ya no será, como hasta ahora, la persona que se designaba como Responsable de Seguridad, ocurriendo que, sin apenas justificación, se elegía a profesionales sin la adecuada capacitación. El DPO deberá ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para ejecutar los cometidos contemplados en el Reglamento.

Independencia del DPO.

El DPO podrá pertenecer a la plantilla del responsable o del encargado del tratamiento o desempeñar las funciones de delegado en el marco de un contrato de servicios. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.

El RGPD aclara que el responsable o el encargado velarán por que el DPO sea plenamente independiente y no reciba ninguna instrucción en lo que respecta al ejercicio de estos cometidos. No será destituido ni sancionado por el responsable o el encargado del tratamiento por desempeñar sus cometidos. El delegado de protección de datos informará directamente al más alto nivel de dirección del responsable o del encargado del tratamiento.

Evaluación de impacto en la privacidad El Reglamento General contempla otro instrumento para garantizar el cumplimiento es la «evaluación de impacto en la privacidad» (Privacy Impact Assessments, PIA), aplicable en el caso de que sea probable que un tratamiento suponga un riesgo elevado para los derechos y las libertades de personas físicas.

El auge de nuevos modelos de negocio, comunicaciones y medios tecnológicos, tales como las tecnologías wearables, la expansión del Internet of Things (IoT), la progresiva implantación de soluciones de cruzamiento masivo de datos o Big Data, el procesamiento de datos sensibles de carácter religioso o ideológico, el tratamiento de datos biométricos, la geolocalización, las nuevas fronteras en el ámbito de la ciberseguridad, hasta el fingerprinting o la tecnología de reconocimiento facial en redes sociales, dan lugar a nuevos riesgos que pueden tener consecuencias con carácter simultáneo en distintas localizaciones, lo que da valor no solamente al desarrollo de este marco unificado a nivel europeo, sino también a la necesaria existencia de los Data Protection Officer en el seno de las organizaciones.

Así, el Reglamento General exige en su artículo 33 la evaluación de impacto relativa a la protección de datos cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, suponga un alto riesgo para los derechos y libertades de las personas.

En estos casos, el responsable del tratamiento está obligado, antes del tratamiento, a realizar una evaluación del impacto de las operaciones de tratamiento previstas en la protección de datos personales. Una única evaluación servirá para abordar una serie de operaciones de tratamiento similares que planteen riesgos elevados similares.

En particular, el responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al llevar a cabo la evaluación de impacto relativa a la protección de datos.

En tales supuestos, el responsable o el encargado del tratamiento deberán efectuar previa o simultáneamente una evaluación del posible impacto de un tratamiento determinado, en particular cuando se utilice una tecnología nueva. La realización de la «evaluación de impacto en la privacidad» podrá ser recomendada, propuesta, dirigida y coordinada por el DPO en aquellos casos en que sea necesaria

 

[/et_pb_text][/et_pb_column][/et_pb_row][/et_pb_section]