R.G.P.D.
Reglamento General de Protección de Datos (UE) 2016/679
El Reglamento General de Protección de Datos ha entrado en vigor el 25 de mayo de 2016. Se ha elaborado este documento simplificado, que sigue el formato pregunta-respuesta, para facilitar la comprensión del nuevo marco normativo a los ciudadanos y ayudar a las organizaciones a adaptarse a los cambios que incorpora y cumplir así con sus obligaciones.
Te resumimos de manera concisa qué novedades establece la Nueva Norma
Te contamos cuáles son las principales novedades que establece la nueva norma, en relación con el antiguo régimen de la Ley orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
- PRINCIPIOS DE PROTECCIÓN DE DATOS POR DEFECTO Y DESDE EL DISEÑO. Se deberán adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de dato, como regla y desde el origen.
- PRINCIPIO DE TRANSPARENCIA. Los avisos legales y políticas de privacidad deberán ser más simples e inteligibles, facilitando su comprensión, además de más completos. Incluso se prevé que, con el fin de informar sobre el tratamiento de los datos, puedan utilizarse iconos normalizados.
- En ciertos casos, se deberán realizar EVALUACIONES DE IMPACTO SOBRE LA PRIVACIDAD, que determinen los riesgos específicos que supone tratar ciertos datos de carácter personal y prevean medidas para mitigar o eliminar dichos riesgos.
- Las empresas multinacionales tendrán como interlocutora a una sola autoridad de control nacional: la del establecimiento principal de la entidad. Es lo que se conoce como VENTANILLA ÚNICA.
- Las BRECHAS DE SEGURIDAD deberán ser comunicadas a las autoridades de control y, en casos graves, a los afectados, tan pronto sean conocidas, estableciéndose el plazo máximo de 72 horas.
- DATOS SENSIBLES: Se amplían los datos especialmente protegidos, incluyendo ahora los datos genéticos y biométricos. Se incluyen también en esta categoría las infracciones y condenas penales, aunque no las administrativas.
- La SELECCIÓN de un encargado del tratamiento se endurece, puesto que habrá que elegir uno que aporte suficientes garantías de cumplimiento normativo.
- GARANTÍAS ADICIONALES PARA LAS TRANSFERENCIAS INTERNACIONALES DE DATOS: Establecimiento de garantías más estrictas y mecanismos de seguimiento en relación con las transferencias internacionales de datos fuera de la Unión Europea.
- SELLOS Y CERTIFICACIONES: Se prevé que se creen sellos y certificaciones de cumplimiento que permiten acreditar la Accountability por parte de las organizaciones.
- DESAPARECE LA OBLIGACIÓN DE INSCRIBIR LOS FICHEROS, que se sustituye por un control interno y, en algunos casos, un inventario de las operaciones de tratamiento de datos que se realicen, que se intuye de un contenido similar al que actualmente tiene el formulario NOTA.
- SANCIONES: Las cuantías de las sanciones por incumplimiento de la norma crecen, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual (no se excluye de las multas a las Administraciones Públicas, aunque los Estados Miembros pueden acordarlo así).
- CONSENTIMIENTO. El consentimiento para poder tratar datos de carácter personal ha de ser inequívoco, libre y revocable y deberá darse mediante un acto afirmativo claro. No se admite consentimiento tácito.
- DERECHO AL OLVIDO. Se podrá revocar el consentimiento prestado para el tratamiento de datos personales en cualquier momento, pudiendo exigir la supresión y eliminación de los datos en redes sociales o buscadores de internet.
- DERECHO A LA LIMITACIÓN DEL TRATAMIENTO. Permite al ciudadano solicitar el bloqueo temporal del tratamiento de sus datos cuando existan controversias sobre su licitud.
- PORTABILIDAD DE LOS DATOS. Se permitirá al ciudadano solicitar la transferencia de los datos personales de un proveedor de servicios en Internet a otro.
- DENUNCIAS. Se podrán presentar denuncias a través de asociaciones de usuarios.
- INDEMNIZACIONES. Se reconoce la posibilidad de exigir indemnización de daños y perjuicios derivados del tratamiento ilícito de los datos personales.
- El responsable del fichero podrá establecer un CANON a la contestación de los ejercicios del derecho de acceso, teniendo en cuentas los costes administrativos que ello le suponga.
En todo caso, las disposiciones contenidas en el Reglamento son directamente aplicables en cada uno de los Estados Miembros, sin necesidad de trasposición y obliga a las empresas privadas e instituciones públicas a afrontar un importante proceso de readaptación normativa.
Sin embargo, el RGPD no deroga automáticamente la LOPD y su Reglamento de desarrollo. Simplemente desplaza estas en la medida en que resulten incompatibles con él. En aquellos ámbitos en que dicha incompatibilidad no se produzca, ambas normativas coexistirán, lo que hace prever no pocos problemas prácticos e interpretativos, cuya resolución exigirá la asistencia de profesionales especializados que ofrezcan suficientes garantías.
El proceso de readaptación no es técnicamente fácil, por lo que será importante para las empresas contar con un asesoramiento jurídico especializado que ofrezca suficientes garantías.
Información ampliada
En España, el RGPD dejó obsoleta la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) de 1999, siendo sustituida el 6 de diciembre de 2018 por la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, acorde con el RGPD.
El RGPD también ofrece un nuevo conjunto de "derechos digitales" para los ciudadanos de la UE en una época en la que el valor económico de los datos personales está aumentando en la economía digital.
El reglamento no pretende aplicarse al tratamiento de datos personales para actividades de seguridad nacional o aplicación de la ley en la Unión Europea; sin embargo, grupos industriales preocupados por enfrentar un posible conflicto de leyes han cuestionado si el artículo 48 de la RGPD podría invocarse para evitar que un controlador de datos sujeto a las leyes de un tercer país cumpla con un orden legal de la aplicación de la ley de ese país, judicial, o las autoridades de seguridad nacional divulguen a dichas autoridades los datos personales de una persona de la UE, independientemente de si los datos residen dentro o fuera de la UE.
El artículo 48 establece que cualquier juicio de un tribunal o tribunal y cualquier decisión de una autoridad administrativa de un tercer país que requiera que un controlador o procesador transfiera o divulgue datos personales solo podrá ser reconocido o exigible de cualquier manera si se basa en un acuerdo internacional, tal como un tratado de asistencia jurídica mutua vigente entre el tercer país (no UE) solicitante y la Unión o un Estado miembro, el paquete de reforma de protección de datos también incluye una Directiva de protección de datos separada para el sector policial y de justicia penal que proporciona normas sobre personal intercambios de datos a nivel nacional, europeo e internacional.
Existen excepciones para los datos tratados en un contexto de empleo y los datos tratados para fines de seguridad nacional que aún podrían estar sujetos a las reglamentaciones de cada país (artículos 2 (2) (a) y 82 de la RGPD).
Para poder demostrar el cumplimiento con el RGPD, el controlador de datos debe implementar medidas que cumplan con los principios de protección de datos por diseño y protección de datos por defecto. Privacidad por diseño y por defecto (Artículo 25) requieren que las medidas de protección de datos estén diseñadas para el desarrollo de procesos comerciales para productos y servicios. Tales medidas incluyen datos personales Seudonimizamiento, por parte del controlador, tan pronto como sea posible (considerando 78).
Es responsabilidad del controlador de datos implementar medidas efectivas y ser capaz de demostrar el cumplimiento de las actividades de tratamiento, incluso si el tratamiento se lleva a cabo por un procesador de datos en nombre del controlador. (Considerando 74).
Las evaluaciones de impacto de protección de datos (artículo 35) deben llevarse a cabo cuando se producen riesgos específicos a los derechos y libertades de los interesados. Se requiere la evaluación y mitigación de riesgos y se requiere la aprobación previa de las Autoridades de Protección de Datos (DPA) para los riesgos más altos. Los delegados de protección de datos (artículos 37-39) deben garantizar el cumplimiento dentro de las organizaciones.
Deben ser designados:
- Para todas las autoridades públicas, a excepción de los tribunales que actúan en su capacidad judicial,
- Si las actividades centrales del controlador o del procesador consisten en:
· Tratamiento de "operaciones" que, en virtud de su naturaleza, su alcance y / o sus propósitos, requieren un control regular y sistemático de los interesados a gran escala,
· Tratamiento en una "escala" grande de categorías especiales de datos de conformidad con el artículo 9 y datos personales relacionados con condenas penales y delitos a que se refiere el artículo 10.
- El interesado ha dado su consentimiento para el tratamiento de sus datos personales con uno o más propósitos específicos.
- El tratamiento es necesario para la ejecución de un contrato del que el interesado es parte o para tomar medidas a petición del interesado antes de celebrar un contrato.
- El tratamiento es necesario para cumplir con una obligación legal a la cual el controlador está sujeto.
- El tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona física.
- El tratamiento es necesario para la realización de una tarea llevada a cabo en interés público o en el ejercicio de la autoridad oficial conferida al controlador.
- El tratamiento es necesario para los fines de los intereses legítimos perseguidos por el responsable o por un tercero, salvo cuando dichos intereses sean anulados por los intereses o los derechos y libertades fundamentales del interesado que requieren protección de datos personales, en particular cuando el interesado es un niño.
La cuestión del consentimiento de RGPD tiene una serie de implicaciones para las empresas que graban llamadas en la práctica. Las típicos avisos del tipo "esta llamada está siendo grabada por motivos de seguridad" ya no serán suficientes para obtener el consentimiento asumido para grabar llamadas. Además, cuando la grabación haya comenzado, si la persona que es grabada retira su consentimiento, entonces el agente que recibe la llamada debe ser capaz de detener una grabación previamente iniciada y asegurarse de que la grabación no se guarde.
El DPO es similar pero no es lo mismo que un Oficial de Cumplimiento, ya que también se espera que sea competente en la gestión de procesos de TI, seguridad de datos (incluido el tratamiento de ciberataques) y otros problemas críticos de continuidad empresarial en la retención y tratamiento de datos personales y confidenciales datos. El conjunto de habilidades requeridas se extiende más allá de comprender el cumplimiento legal con las leyes y regulaciones de protección de datos.
El nombramiento de un DPO dentro de una gran organización será un desafío para la Junta, así como para el individuo en cuestión. Hay una miríada de problemas de gobernanza y factores humanos que las organizaciones y compañías deberán abordar dado el alcance y la naturaleza de la designación. Además, el titular del puesto tendrá que crear su propio equipo de soporte y también será responsable de su propio desarrollo profesional continuo, ya que deben ser independientes de la organización que los emplea, efectivamente como un "mini-regulador".
El 13 de diciembre de 2016 (revisado el 5 de abril de 2017) se proporcionaron más detalles sobre la función y la función del delegado de protección de datos con un documento de orientación.
También señala la seudonimización como algo demandado para cualquier almacenaje de datos personales sobre personas dentro del UE como alternativa a la otra opción de anonimización de datos.
Sin embargo, la notificación a los interesados no es necesaria si el responsable del tratamiento ha implementado medidas de protección técnicas y organizativas apropiadas que hacen que los datos personales sean ininteligibles para cualquier persona que no esté autorizada para acceder, como el cifrado (Artículo 34).
- Una advertencia por escrito en los casos de incumplimiento previo e intencional,
- Auditorías periódicas de protección de datos,
- Una multa de hasta 10.000.000 o hasta el 2% del volumen de negocios mundial anual del ejercicio anterior en el caso de una empresa, cualquiera que sea mayor, cuando haya habido una infracción de las siguientes disposiciones (Artículo 83, Párrafo 4):
· Las obligaciones del controlador y del procesador de conformidad con los artículos 8, 11, 25 a 39, 42 y 43,
· Las obligaciones del organismo de certificación de conformidad con los artículos 42 y 43,
· Las obligaciones del organismo de supervisión de conformidad con el artículo 41 (4).
- Una multa de hasta 20.000.000 o hasta el 4% del volumen de negocios anual del año financiero anterior en el caso de una empresa, cualquiera que sea mayor, cuando se haya infringido las siguientes disposiciones : (Artículo 83, párrafos 5 y 6).
· Los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento, de conformidad con los artículos 5, 6, 7 y 9,** the data subjects' rights pursuant to Articles 12 to 22,
· Las transferencias de datos personales a un destinatario en un tercer país o una organización internacional de conformidad con los artículos 44 a 49, Cualquier obligación conforme a la ley de los Estados miembros adoptada en virtud del Capítulo IX,
· El incumplimiento de una orden o una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad supervisora de conformidad con el artículo 58 (2) o la falta de acceso en violación del artículo 58 (1).
- 21 de octubre de 2013: Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo (LIBE) tenía su voto de orientación.
- 15 de diciembre de 2015: Negociaciones entre Parlamento Europeo, Consejo y Comisión (tripartito) resultó en una propuesta conjunta.
- 17 de diciembre de 2015: La comisión LIBE del Parlamento Europeo votó positivamente sobre el resultado de las negociaciones entre las tres partes.
- 8 de abril de 2016: Adopción por el Consejo de la Unión Europea. El único estado miembro que votó en contra fue Austria, argumentando que el nivel de protección de datos en algunos aspectos es bajo en comparación con la directiva de 1995.
- 14 de abril de 2016: Adopción por el Parlamento Europeo.
- El reglamento entró en vigor 20 días después de su publicación en el Diario oficial de la Unión Europea el 4 de mayo de 2016. Sus disposiciones serán directamente aplicables en todos los estados miembros dos años después de esta fecha.
- Es aplicable desde el 25 de mayo de 2018.
Como parte de esta estrategia, el RGPD y la Directiva sobre seguridad de redes y sistemas de información (Directiva NIS) es aplicable desde el 25 de mayo de 2018. El "[propuesto]" Reglamento de privacidad también es aplicable a partir del 25 de mayo de 2018. El el Reglamento eIDAS también es parte de la estrategia.
Gestión de información personal ayuda a las organizaciones a devolver este control, y hay una serie de herramientas y soluciones para ayudar con esto.
¿Necesitas más información?
Te dejamos un enlace con la publicación completa de la Ley, en el Boletín Oficial del Estado (BOE)
También puedes visitar la página web oficial del BOE, o ampliar información sobre la nueva Norma en la Agencia Española de Protección de Datos (AEPD).