Hoy toca tratar el espinoso asunto de la Protección de Datos …  y es que ya he sido interrogada sobre la materia y me temo que este asunto traerá cola …. sobre todo porque hay empresas, no siempre bienintencionadas, que para vender sus servicios de asistencia, lo primero que hacen es amedrentar al interlocutor mencionando las multas que a partir de ahora se podrían imponer por su incumplimiento. Pero ante todo …  “que no entre el pánico”, que no es para tanto …

Empecemos por el principio: en abril de 2016, el día 27, se promulgó el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Vaya por delante que la entrada en vigor de la norma quedó postergada al 25 de mayo de 2018, de forma que se concediera un plazo razonable para su adaptación. Por eso, aún no vamos con retraso, pero tampoco es que tengamos tiempo para andar durmiendo … o sea, ¡que hay que ponerse a ello!.

Para ser prácticos, voy a tratar de resumir las novedades más trascendentales introducidas por esta norma, que obligarán a los operadores a realizar ciertas actuaciones de adaptación, señalando en cada caso, las actividades que habría que efectuar. Por eso, como iréis deduciendo, es algo que cada uno puede ir haciendo, pero si carecéis de tiempo o ganas para ello, os recuerdo que el mercado está lleno de profesionales encantados de echaros una mano (empezando por menda, la autora de esta entrada).

Vamos a ello:

1.- El aspecto más novedoso del Reglamento es que se basa en la prevención por parte de la organización que trate los datos, es lo que se denomina “Responsabilidad Activa”, esto quiere decir que ahora lo más importante es el análisis de los riesgos del tratamiento. Esto, en la práctica, significa que va a desaparecer el catálogo de medidas que las empresas habían de tener implantadas en función del tipo de datos que traten, y se sustituirá por un ejercicio más ad hoc, de forma que en primer lugar se analice el tipo de datos que se tratan y cómo se hace, posteriormente se evalúen los riesgos del tratamiento y por último se establezcan y apliquen las medidas idóneas para garantizar la seguridad.

En definitiva, ya no va a haber distinción entre ficheros de nivel básico, medio o alto, sino que las medidas de seguridad se aplicarán teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

Recomendación: De momento, basta con mantener actualizado el Documento de Seguridad, siempre que las medidas técnicas y organizativas sean adecuadas para garantizar la seguridad, integridad y privacidad de la información de carácter personal tratada.

Pero este no es el único cambio, además se introducen los siguientes:

2.- Se añaden nuevos derechos para los interesados: además de los actuales derechos ARCO (acceso, rectificación, cancelación y oposición), se añaden el derecho al olvido (derecho a solicitar y obtener de los responsables que los datos personales sean suprimidos cuando ya no sean necesarios para la finalidad para la que fueron recogidos, se retire el consentimiento o fueron obtenidos de forma ilícita) y el derecho a la portabilidad (el interesado solicita recuperar sus datos para el traslado a otro responsable). Asimismo, se establece la obligación de proporcionar los medios para que las solicitudes de ejercicio de derechos se presenten por medios electrónicos, en particular cuando los datos personales se hayan recabado a través de estos medios.

Recomendación: Es aconsejable que las organizaciones comiencen a implementar en sus procedimientos de información (leyendas legales incluidas en los procesos de recogida de datos de carácter personal) los nuevos derechos que asisten a los interesados.

3.- También hay cambios en la forma de obtener el consentimiento: a partir de ahora ha de ser claro, informado, específico e inequívoco, quedando de esta manera excluido el consentimiento tácito. Por tanto, los datos que hubieran sido obtenidos de esta forma deberán ser eliminados.

En cuanto al consentimiento de los datos de menores, se establecen condiciones específicas para obtenerlos, requiriéndose el consentimiento paterno o del tutor legal para menores de 16 años, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será menos de 13 años.

Recomendación: Es aconsejable que las empresas revisen la forma en la que recaban el  consentimiento y eliminen las prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa pero que dejarán de serlo cuando el Reglamento sea de aplicación.  Asimismo, en relación con el tratamiento de datos de menores, se recomienda aplicar ya limitación.

4.- Se refuerza el deber de información, de forma que se introduzcan nuevos datos en las cláusulas de formularios y contratos, como la finalidad y base jurídica del tratamiento, los destinatarios de los datos y las transferencias internacionales, en su caso, el plazo de conservación, los derechos de los individuos, el derecho de presentar reclamación ante la autoridad competente y la existencia de decisiones automatizadas. Asimismo, cuando los datos hayan sido obtenidos de terceros, la información anteriormente indicada deberá facilitarse en el plazo de máximo de un mes (en lugar de los tres meses indicados en la LOPD).

Recomendación: Es aconsejable que las empresas comiencen ya a revisar los contenidos de las leyendas legales que hayan incorporado en los procesos de recogida de datos (on line/ off line) para ir adecuando la redacción a los nuevos requerimientos del Reglamento 2016/679.

5.- Se establece como nueva obligación la de notificar los fallos de seguridad a la AEPD en un plazo de 72 horas. Para ello el responsable del tratamiento deberá contar con un sistema efectivo para comunicar el fallo.

Recomendación: habría que ir estableciendo, al menos, los procesos internos para canalizar las comunicaciones de brechas de seguridad o incidentes que afecten a la protección de datos, a la persona encargada de coordinar el cumplimiento de la normativa de protección de datos.

6.- Para aquellos casos en los que, tras la evaluación de riesgos, se detecte un riesgo alto para la privacidad, el nuevo Reglamento establece la obligación de realizar una evaluación de impacto, en la que se evalúe el origen, la particularidad y gravedad del Riesgo.

7.- Hasta ahora los operadores han de comunicar a la AEPD los ficheros, con el nuevo Reglamento esto va a quedar sustituido por un Registro obligatorio de tratamiento de datos, si bien esto será obligatorio solo para aquellas organizaciones que habitualmente realicen tratamiento de datos de riesgo para la privacidad de los interesados, o traten datos sensibles. El contenido de dicho registro está determinado en el propio Reglamento.

Recomendación: Las organizaciones que traten datos sensibles deberían poner en marcha la redacción de este registro de tratamiento de datos.

8.- Nace la figura del Delegado de Protección de Datos (hasta ahora la LOPD obligaba a designar un Responsable de Seguridad en el caso de tratamiento de ficheros de nivel medio/alto) con competencias cualificadas en materia de coordinación y control del cumplimiento de la normativa de protección de datos. No obstante esta figura sólo será obligatoria en los casos en los que el responsable realice operaciones que requieran una observación habitual y sistemática de datos a gran escala o consistan en el tratamiento de categorías especiales de datos personales.

Recomendación: Para aquellas organizaciones que deban contar con un Delegado de Protección de Datos, sería conveniente que se designara ya esta figura, con el fin de que el DPO inicie el proceso de implementación de las novedades legislativas del RGPD  de manera progresiva, así como para que vaya difundiendo en la organización los nuevos procedimientos internos.

Conclusión:

Como he anunciado al principio de esta entrada, las organizaciones tienen hasta mayo de 2018 para adecuar sus procesos internos a los requisitos del Reglamento General de Protección de Datos, pero no es momento ahora de dormir, sino de ponerse al día y adaptarse, máxime cuando es cierto que se ha aumentado el importe de las sanciones (si antes eran persuasorias, ahora lo son más).

No dudéis en contactarme si os surgiera cualquier cuestión relativa a cómo aplicar estos cambios.