Con la intención de dar respuesta a los grandes avances a nivel tecnológico y el uso de las nuevas tecnologías en el uso de datos personales, se han introducido una serie de cambios con el Reglamento Europeo de Protección de Datos de carácter personal (a partir de ahora RGPD) del año 2016, de aplicación directa y obligado cumplimiento por parte de los estados miembros, intenta dar respuesta a estas nuevas realidades introduciendo nuevas medidas, de las que ya existían sentencias y artículos doctrinales, como es el derecho al olvido o la protección de datos de personas fallecidas, entre otras cosas.
La nueva normativa cambia el modelo actual de control activo de la administración sobre empresas y particulares en el cumplimiento de las normas de protección de datos a un sistema de asunción de responsabilidad de la entidad receptora de datos, para el que surge una nueva figura, el delegado de protección de datos (DPO en sus siglas en inglés). El RGPD acordó un periodo de dos años desde su aprobación para la correcta adaptación de las empresas. En nuestra anterior publicación sobre la Ley de Protección de datos os informábamos de la necesidad y obligatoriedad de adaptar las empresas a la LOPD y a la LSSICE. El 25 de mayo de 2018 se cumple el periodo previsto, a partir de esta fecha el incumplimiento del RGPD puede ocasionar multas administrativas para la empresa.
Con el presente artículo, nuestros compañeros de Foro Abogados abordan algunos de los cambios más reseñables, remitiéndonos al citado reglamento y al nuevo proyecto de ley de protección de datos para mayor ilustración sobre el tema.
¿Qué novedades se introduce?
Derecho de supresión – derecho al olvido – art. 17 RGPD
Como novedad, se introduce la posibilidad de pedir, antes datos publicados en redes sociales y medios telemáticos, el borrado y eliminación de dichos datos dentro de las posibilidades técnicas del responsable del tratamiento de los datos personales.
Registro de actividades de tratamiento – art. 30 RGPD
Se mantiene la obligación de llevar un control de las bases de datos, así como establecer un control de las actividades llevadas a cabo para el tratamiento de las mismas. Como novedad, las entidades no estarán obligadas a transmitir las bases de datos a la Agencia Estatal de Protección de Datos, pero si tendrán que seguir contando con dicha información para el caso de una posible inspección y siguiendo los principios de licitud, transparencia y finalidad. Por los cuáles debe existir el consentimiento expreso (interés legal, vital, contrato…) para el tratamiento de los datos; se debe informar en todo momento que uso va a darse a los datos y solo deben recavarse los datos imprescindibles y estos deben ser exactos.
Análisis del riesgo y seguridad
Antes de hacer un tratamiento de datos personales, se debe realizar una evaluación de los posibles riesgos que pueden aparecer con estos datos, contemplando tanto la sensibilidad de los datos como el problema que podría ocasionar una posible filtración de datos. Si el resultado de la evaluación de riesgos es negativo, hay que comunicárselo a la Agencia Estatal de Protección de Datos.
De este modo se destaca la importancia de las medidas de seguridad y la actuación proactiva de los responsables y encargados del tratamiento de datos. En caso de producirse una filtración o pérdida de datos, los responsables del tratamiento de datos están obligados a notificarlos a la Agencia Estatal de Protección de Datos en 72 horas.
Códigos de conducta – Sección 5.ª del Capítulo IV RGPD
Para la implantación y concreción de las medidas de protección y vigilancia de protección de datos se establece la necesidad de promocionar la elaboración de códigos de conducta por parte de las entidades y organismos sujetos a la normativa de protección de datos.
Las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento podrán elaborar códigos de conducta o modificar o ampliar dichos códigos con objeto de especificar la aplicación del presente Reglamento, como en lo que respecta a:
a) el tratamiento leal y transparente;
b) los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos;
c) la recogida de datos personales;
d) la seudonimización de datos personales;
e) la información proporcionada al público y a los interesados;
f) el ejercicio de los derechos de los interesados;
g) la información proporcionada a los niños y la protección de estos, así como la manera de obtener el consentimiento de los titulares de la patria potestad o tutela sobre el niño;
h) las medidas y procedimientos a que se refieren los artículos 24 y 25 y las medidas para garantizar la seguridad del tratamiento a que se refiere el artículo 32; y otros puntos establecidos en el art. 40 del Reglamento Europeo.
Transferencias internacionales de datos
Se establece un especial control con la transferencia de datos de carácter personal, sobre todo con países que no cuentan con las mismas garantías al respecto, al respecto, en el art. 40 del proyecto de ley de protección de datos se establece un control por parte de la Agencia Estatal de Protección de Datos.
Ello trae su origen, entre otros motivos, en los continuos problemas generados por los servidores y alojamientos web en países extracomunitarios con normativas más laxas o en algunos casos casi inexistentes en protección de datos de carácter personal. Debemos de tener en cuenta, que la mayoría de bases de datos y sistemas de almacenamiento de datos “nubes” se encuentran alojados en servidores extracomunitarios.
Designación delegado protección de datos – Sección 4ª RGPD
El cambio a un sistema de asunción de responsabilidad, por parte de las entidades obligadas al tratamiento de datos de carácter personal, introduce la figura del delegado de protección de datos, diferente al responsable y encargado de protección de datos, será el encargado de informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.
Su nombramiento correrá a cargo del delegado y responsable, estando obligados las siguientes entidades, según establece el art. 14 del proyecto de ley de protección de datos:
a) Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
i) Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
Información redactada y cedida por Foro Abogados.
Si necesitas adaptar tu negocio o empresa al RGPD o quieres más información contáctanos ⇒