La Unión Europea es la encargada de velar por la protección de las personas físicas en lo relativo al tratamiento de datos de carácter personal. El Consejo y el Parlamento europeo aprobaron el 27 de abril de 2016 un nuevo Reglamento (UE) 2016/679, de Protección de Datos (RGPD) que entrará en vigor el próximo 25 de mayo de 2018.
Pese a la aprobación del nuevo Reglamento, nos encontramos aún en un periodo transitorio en el que siguen vigentes las disposiciones de la Directiva 95/46 y sus correspondientes normas nacionales de trasposición, en nuestro caso la Ley 15/1999 de Protección de Datos de Carácter Personal y Ley 34/2002, de Comercio Electrónico y Sociedad de la Información.
El Reglamento establece las normas relativas a la protección y libre circulación de los datos personales de las personas físicas.
El RGPD modificará algunos aspectos del actual régimen y contendrá nuevas obligaciones inspiradas en los principios de responsabilidad proactiva (necesidad de que el responsable del tratamiento aplique las técnicas necesarias para el cumplimento del Reglamento) y de enfoque de riesgo, (tratamiento de los datos acorde con el riesgo para los derechos y libertades de las personas).
Consentimiento
inequívoco
El consentimiento según el artículo 4.11 del Reglamento debe ser “inequívoco”, es decir, prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. A diferencia del Reglamento de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción.
El consentimiento según el artículo 4.11 del Reglamento debe ser “inequívoco”, es decir, prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. A diferencia del Reglamento de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción.
Sin embargo, el consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una página web y acepta así que se utilicen cookies para monitorizar su navegación).
Se trata de un consentimiento “libre e informado” y debe suponer una “expresión explícita" del deseo del titular de los datos: deberá darse o a través de una declaración o de una clara acción de afirmación de análoga naturaleza. Cuando el consentimiento no se haya otorgado de forma libre o esté basado en información errónea, dicho consentimiento no será válido. [1]
Información
La información a los interesados, tanto respecto de las condiciones de los tratamientos que les afecten como de las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. La LOPD solo exige que la información se preste de modo expreso, preciso e inequívoco.
De la misma forma, los procedimientos para el ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición a los datos), deben ser sencillos para los titulares de los datos y se requiere la posibilidad de presentación de manera telemática, en especial cuando el tratamiento se realiza por estos medios.
Además del Reglamento, debe tenerse en cuenta la reciente jurisprudencia del Tribunal de Justicia de la UE en el caso Google Spain, donde se reconoce el derecho al olvido, que podría considerarse como un derecho ARCO en el ámbito digital y no como un derecho autónomo en sí mismo.
Encargados, responsables y delegados
La Directiva 95/46 y en general las leyes nacionales de trasposición se centraban en la actividad de los responsables. El RGPD, por el contrario, contiene obligaciones expresamente dirigidas a los encargados.
El encargado deberá designar a su vez un delegado de protección de datos o data protection officer (DPO), figura esencial en el nuevo Reglamento europeo. Éste deberá identificar posibles riesgos y buscar soluciones adecuadas. La obligatoriedad de esta figura se encuentra regulada en el artículo 37 del Reglamento.
El Reglamento de desarrollo de la LOPD determinaba con detalle y de forma exhaustiva las medidas de seguridad que debían aplicarse según el tipo de datos objeto de tratamiento. En el RGPD, los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.
La Agencia Española de Protección de Datos (AEPD), está desarrollando algunas herramientas como FACILITA una herramienta para el tratamiento de datos de poco riesgo que, mediante un sencillo cuestionario, nos orienta sobre si debemos realizar un análisis de riesgo o podemos usar dicha herramienta para el tratamiento de los datos. También existe EVALÚA, una herramienta para comprobar el grado de cumplimiento del Reglamento por parte de las empresas.
Quiebras de seguridad
El RGPD define las violaciones de seguridad de los datos o quiebras de seguridad de una forma muy amplia, incluyendo todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Un ejemplo es el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal).
Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla sin dilaciones indebidas a la autoridad de protección de datos competente para que los afectados puedan adoptar las medidas oportunas, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de estos.
El régimen sancionador del Reglamento prevé que el incumplimiento de la normativa pueda acarrear duras sanciones de hasta veinte millones de euros o el cuatro por ciento de la facturación de la empresa, aspecto que aconseja la necesidad de esta adaptación.
David Hernández Primo
EGEA
ABOGADOS
[1] (LÓPEZ AGUILAR, J. F. “Towards a new european data protection regime”, Tirant lo Blanch, 2015)
[1] (LÓPEZ AGUILAR, J. F. “Towards a new european data protection regime”, Tirant lo Blanch, 2015)
No hay comentarios:
Publicar un comentario