El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016, si bien no ha sido directamente aplicable hasta el 25 de mayo de 2018. Durante ese período transitorio siguieron vigentes las disposiciones de la Directiva 95/46, así como las correspondientes normas nacionales que las desarrollan (en España la LOPD 15/1999 y su reglamento), pero a partir de dicha fecha dejan de tener validez y únicamente se habrá de estar a lo dispuesto con lo previsto en la RGPD.
A partir de la mencionada fecha, los responsables deben asumir que la norma de referencia es el propio RGPD y no las normas nacionales, aunque se mantienen muchos conceptos, principios y mecanismos de la anterior regulación. No obstante, algunos aspectos importantes cambian, y se contienen nuevas obligaciones que deben ser analizadas y aplicadas por las compañías, teniendo en cuenta sus propias circunstancias y necesidades.
Innovaciones del RGPD
Dos elementos de carácter general constituyen la mayor innovación del RGPD para los responsables de su cumplimiento, y se proyectan sobre todas las obligaciones de las organizaciones. Estos dos principios son los siguientes:
I.- Principio de responsabilidad proactiva
Se refiere a la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es realizado conforme a lo establecido en el Reglamento.
En términos prácticos, este principio requiere que las compañías analicen qué clase de datos tratan, con qué finalidad lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD recoge, cerciorándose de que dichas medidas son las adecuadas para cumplir con el mismo, siendo capaces de demostrarlo ante los legítimos interesados y ante las autoridades que supervisan el cumplimiento del RGPD.
Resumiendo, este principio exige una actitud consciente, diligente y proactiva por parte de las compañías frente a todos los tratamientos de datos de carácter personal que lleven a cabo.
II.- Enfoque de riesgo
Las medidas encaminadas a garantizar el cumplimiento de los preceptos del Reglamento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo que acarrea para los derechos y libertades de las personas. Por lo tanto, algunas de las medidas que el RGPD establece se aplicarán únicamente cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse, según el nivel y el tipo de riesgo que el encargado identifique según las circunstancias de la compañía. Lo que puede ser adecuado para una empresa que maneja una cantidad ingente de datos, siendo estos además de carácter sensible y debiendo adoptar por tanto medidas de diferente índole, puede no ser necesario para otras empresas que cuenten con un volumen más limitado, o que dichos datos no sean de un carácter sensible que requieran especial protección.
La nueva regulación tiene también otros puntos novedosos de interés, incorporando una serie de derechos y obligaciones para las partes, y que podríamos aunar de una manera muy resumida en los siguientes apartados:
- Consentimiento: Para tener y tratar los datos de una persona se debe obtener un consentimiento expreso, no estando admitido el consentimiento de carácter tácito o por omisión, pues esto se basa en la inacción. Este debe ser libre e inequívoco, proporcionando la información de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Es obligatorio facilitar dicha información por escrito, para poder probar que se ha realizado de manera correcta. Si los datos se van a usar para varios fines, se pedirán consentimientos separados. Hay excepciones: no hace falta consentimiento si hay una obligación legal, media interés vital o público, hay un contrato o si la empresa o autoridad pública alega «interés legítimo», que tendrá motivar.
- Derecho al olvido: Se trata del derecho de supresión y hasta ahora solo se reflejaba en sentencias judiciales, pero no en una ley.
- Portabilidad y Limitación: Otros dos derechos importantes para los ciudadanos, además de los clásicos de acceso, rectificación, cancelación y oposición (ARCO), que ya estaban contemplados en la legislación. La portabilidad permite a una persona pedir, recibir y transferir directamente sus datos automatizados de una entidad a otra. La limitación es una suerte de suspensión temporal del tratamiento de los datos con el fin de hacer comprobaciones, demostrar un interés legítimo, resolver una reclamación, etc.
- Delegado de Protección de Datos (DPO por sus siglas en inglés): El reglamento introduce la figura del Delegado de Protección de Datos. Es obligatorio en el caso de los organismos públicos, pero no en todas las empresas, solo en aquellas que traten datos a gran escala o datos muy sensibles. Si, además, la empresa tiene menos de 250 trabajadores, no será necesaria la llevanza de un registro.
- Menores. Los menores de 16 años, en el caso de los «servicios de la sociedad de la información» (en internet, por ejemplo), no pueden consentir sobre el tratamiento de sus datos personales: deben hacerlo sus padres o tutores. Los países pueden modular esta edad, estableciéndose un mínimo de 13 años (actualmente España lo ha establecido en la edad de 14 años).
Respecto al Responsable del tratamiento y el Encargado
Nos encontramos con modificaciones en las relaciones entre el Responsable del tratamiento y el Encargado de llevar a cabo el mismo, hay también una serie de novedades:
En primer lugar, el RGPD contiene una serie de obligaciones expresamente dirigidas a los encargados de protección, aunque la responsabilidad última sobre el tratamiento sigue estando atribuida al Responsable, que es quien determina la existencia del propio tratamiento y su finalidad. En determinadas materias los Encargados tienen obligaciones propias, que no se circunscriben al ámbito del contrato que los une al Responsable, y que pueden ser supervisadas separadamente por las autoridades de protección de datos (como puede ser la llevanza de un registro de actividades de tratamiento, la determinación de medidas de seguridad aplicables a los tratamientos que realizan o la designación de un DPO). En cuanto a los Encargados, pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas de certificación previstos por el RGPD.
Ademas el Responsable del tratamiento deberá adoptar las medidas apropiadas, incluyéndose en las mismas la elección de un Encargado idóneo, de forma que se garantice que se realiza un correcto tratamiento, debiendo el encargado elegido ofrecer garantías suficientes de poder aplicar las medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme a los requisitos del Reglamento.
Por último, las relaciones entre el Responsable y el Encargado deberán de formalizarse de manera preceptiva en un contrato o un acto jurídico que vincule al Encargado respecto al Responsable, regulándose de manera minuciosa en el RGPD los aspectos que deberán preverse en el acuerdo, debiendo recogerse, como mínimo, los siguientes extremos:
- Objeto, duración, naturaleza y finalidad del tratamiento.
- Tipo de datos personales y categorías de interesados.
- Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable.
- Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones.
- Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados.
La autoridad de control nacional es la Agencia Española de Protección de Datos (AEPD), existiendo otras dos de carácter comunitario en Cataluña y Euskadi. En cada Estado miembro de la UE hay una autoridad y estas tienen el deber de cooperación con la propia Comisión Europea. Se crea además el Comité Europeo de Protección de Datos, que se ocupará de que el Reglamento se aplique de forma coherente en todo el territorio, teniendo sus decisiones carácter vinculante.
En ASYP Atlántica estamos especializados en asesoría general sobre el RGPD, ofreciendo asimismo los servicios requeridos en caso de necesitar un Encargado de tratamiento de datos de carácter personal, ayudando a tu compañía a cumplir con la legalidad vigente y a posicionarte de una manera eficiente y competitiva en tu sector, y por supuesto y no menos importante, a evitar una posible sanción administrativa por parte de la autoridad de control, pudiendo llegar las cuantías de las sanciones hasta los 20 millones de euros, o hasta el 4% del volumen de negocio anual.
