Sergio Díaz López
Ya es aplicable el Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos o RGPD).
Ya es aplicable el Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos o RGPD).
Hasta ahora, la legislación aplicable en la materia era la compuesta por la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, así como la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, LOPD y el Real Decreto 1720/2007, de 31 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Este nuevo Reglamento modifica de manera sustancial diversos aspectos de la normativa hasta ahora vigente, conforme exponemos a continuación:
Consentimiento del Interesado
Con la legislación hasta ahora vigente, el consentimiento debía ser libre, inequívoco, específico e informado; igualmente se admitía un consentimiento expreso, tácito o presunto dependiendo de la naturaleza de los datos.
Con la reforma implantada, será necesario un consentimiento inequívoco, libre y revocable en todos los casos; asimismo el consentimiento debe expresarse mediante una acción afirmativa clara de conformidad, ya no está permitido en consecuencia el consentimiento tácito.
Datos de menores
Sobre los datos de menores la actual regulación establece, salvo excepciones legales, la posibilidad de recabar datos personales de mayores de 14 años sin necesidad de obtener el consentimiento de sus padres o tutores.
Con la reforma a aplicar, se establecen especificaciones sobre los datos de menores ya que no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que no puede ser menos de 13 años.
Derechos de los interesados
La vigente legislación otorga los conocidos Derechos de Acceso, Rectificación, Cancelación y Oposición. La reforma introduce dos nuevos Derechos que son el Derecho al Olvido y el Derecho de Portabilidad.
Deber de información
Hasta ahora, el deber de información consistía básicamente en informar sobre la existencia de un fichero o tratamiento de datos de carácter personal, la identidad del responsable del tratamiento, la finalidad de la recogida de los datos y de los destinatarios de la información.
(Te interesa leer: Ciberacoso, sexting… cómo evitar que los delincuentes digitales te desvalijen a través del ordenador)
A partir de la aplicación del nuevo Reglamento, existe el deber de informar de la base legal para el tratamiento de los datos, del período de conservación de los mismos y de que se pueden dirigir las reclamaciones a las autoridades de protección de datos. Igualmente surge la obligación de notificar los fallos de seguridad que se produzcan en la empresa a la Agencia Española de Protección de Datos en un plazo de 72 horas desde su detección.
Datos recabados de terceros
Con la actual regulación, cuando los datos personales se hayan obtenido de terceros, se debe informar al interesado en un plazo de tres meses. Desde la implantación de la reforma, ese plazo de información se reduce a un mes.
Aplicación de medidas de seguridad
Actualmente, se establece la obligación de aplicar diferentes medidas de seguridad, en función del nivel de los datos tratados (básico, medio o alto). Estas medidas se deben recoger en el Documento de Seguridad de la entidad.
Una vez sea de aplicación la reforma, No se distinguirán niveles de seguridad (básico, medio o alto). Las medidas de seguridad se aplicarán teniendo en cuenta el nivel de riesgo de cada entidad. En consecuencia, se establece la obligación de realizar una Evaluación de Impacto del riesgo.
Implementación de medidas de seguridad
A efectos de implementación, la actual regulación obliga a designar un responsable de Seguridad para el tratamiento de datos de nivel medio o alto.
Con el nuevo Reglamento, surge una nueva figura el delegado de Protección de Datos o Data Protection Officer (DPO), no necesaria en todas las entidades, pero recomendable en la mayoría.
Inscripción de ficheros o Registro
Actualmente, la inscripción de ficheros es obligatoria para todas las empresas, entidades, organizaciones u organismos que traten datos de carácter personal ante la Agencia Española de Protección de Datos.
Una vez entre en funcionamiento la reforma, no será obligatoria la inscripción de ficheros ante la AEPD (salvo para empresas de más de 250 trabajadores). Se debe llevar un registro interno y por escrito del tratamiento de datos que se realice, así como un registro de las actividades de tratamiento siempre que se traten datos de riesgo o sensibles.
Acciones a adoptar para la correcta adaptación a la nueva normativa:
Designación del delegado de protección de datos (DPD) si es obligatorio para la empresa o si lo asume voluntariamente. En caso de no ser necesario designar un DPD, identificar a la/s persona/s responsables de coordinar la adaptación.
– Realizar un análisis de riesgos. A partir de los resultados del análisis de riesgos, realizar, en su caso, una evaluación de impacto en la protección de datos.
– Elaborar el registro de actividades de tratamiento teniendo en cuenta su finalidad y la base jurídica.
– Revisar medidas de seguridad a la luz de los resultados del análisis de riesgos.
– Establecer mecanismos y procedimiento de notificación de violaciones de seguridad.
– Revisar la prestación de consentimientos anteriores y, en su caso, volverlos a solicitar conforme a normativa.
– Adecuar los formularios del derecho de información.
– Adaptar los mecanismos y procedimientos para el ejercicio de derechos.
– Valorar si los encargados ofrecen garantías y adaptación de contratos.
– Elaborar / Adaptar política de privacidad y cookies.