GDPR: ¿qué necesitas saber del nuevo Reglamento Europeo de Protección de Datos?

Posted by media on 4/01/18 9:00
GDPR_nuevo_Reglamento_Europeo_Protección_Datos

El nuevo Reglamento Europeo de Protección de Datos - Reglamento (UE) 2016/679 - entró en vigor el 25 de mayo de 2016. Aunque no será de plena aplicación hasta el próximo 25 de mayo de 2018 recomendamos a las empresas que empiecen a aplicar, progresivamente, las medidas y/o mejoras que el propio Reglamento indica, puesto que es beneficioso para todos.

En este post analizamos los principales cambios que introduce este nuevo Reglamento Europeo de Protección de Datos.

Este post también está disponible en inglés.


¿Por qué un nuevo Reglamento Europeo de Protección de Datos?

Este Reglamento es el resultado de varios años de debate entre los diferentes organismos, instituciones y actores --gobiernos, las autoridades de protección de datos europeas y las empresas. 

Todos ellos, debido al incesante avance de las nuevas tecnologías en las últimas décadas, han debido regular más en detalle (en virtud de sus competencias) aspectos que se derivan de dicha evolución tecnológica, como son la privacidad y la protección de datos.

Por el mismo motivo apareció en su día la Directiva 95/46/CE, que regulaba algunos de los nuevos casos de uso surgidos debido al impacto de la tecnología en los años 90. Algunos ejemplos: el progresivo tratamiento de datos en soporte informatizado o el crecimiento en las capacidades de almacenamiento de datos.

En la actualidad, la popularización del uso de Internet y las redes sociales, el análisis avanzado de datos o el auge del Internet de las Cosas, entre otros factores, han cambiado totalmente la manera en la que usuarios y empresas se comunican entre ellos, y las formas de comprar y relacionarse ya no tienen nada que ver con las de los años 90.

En consecuencia, el nuevo Reglamento Europeo de Protección de Datos quiere sentar las bases de una normativa de privacidad que se adecúe a la tecnología hoy presente.

Sin embargo, y a nuestro pesar, el desarrollo tecnológico evoluciona mucho más rápido que el desarrollo legislativo.

Consumo-via-movil


¿Qué impacto tiene el nuevo Reglamento Europeo de Protección de Datos?

La entrada en vigor del reglamento supone la derogación de la Directiva 95/46/CE, hasta ahora vigente, si bien se puntualiza que dicha derogación tendrá efecto a partir del 25 de mayo de 2018, para permitir la plena adecuación de Estados, Administraciones públicas y empresas.

En España, en cuanto a la ley nacional aprobada por la LO 15/1999, de 13 de diciembre y su reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, el Reglamento no los deroga ni puede derogarlos, pues dicha atribución corresponde al Parlamento español. 
El Reglamento provoca el "desplazamiento normativo" de la LOPD en todo lo que se oponga a la regulación europea. 

Se debe tener en cuenta que este Reglamento será de aplicación no sólo a las empresas o profesionales responsables o encargados del tratamiento de datos, y con domicilio social en Europa, que presten servicios a ciudadanos europeos, sino que se amplía a empresas o profesionales con domicilio social fuera de la UE, y que realicen tratamiento de datos como consecuencia de su oferta de bienes o servicios destinados a ciudadanos europeos.


Dos ejemplos claros de empresas a las que aplica el nuevo Reglamento son:

  • Amazon (vende y entrega a domicilio productos en Europa, entre otros servicios)
  • Google Analytics (ofrece servicios de monitorización o análisis del comportamiento de usuarios en páginas web).

Ambas empresas residen fuera del espacio de la Unión Europea.



¿Cuáles son los principales cambios que introduce el nuevo  Reglamento Europeo de Protección de Datos?

Las claves de este Reglamento se centran en el análisis de impacto de privacidad, en el deber de información, el consentimiento, la transparencia, la seguridad y en el hecho de que se deben garantizar los derechos de los ciudadanos en relación con la protección de su privacidad.

1. Análisis de impacto de la privacidad

A este tipo de análisis también se le llama análisis de la Privacidad por Diseño (Privacy by Design) o Privacidad por Defecto (Privacy by Default).

Su objetivo es analizar el impacto que supone en el tratamiento de datos cualquier proyecto llevado a cabo por parte de empresas, profesionales o emprendedores.

Por ejemplo, si tenemos un proyecto de desarrollo de una aplicación móvil o de una plataforma online para la venta de productos u oferta de servicios, debería procederse a efectuar el análisis de la Privacidad por Diseño que implicaría, entre muchas otras cosas, que deberíamos preguntarnos lo siguiente:

  • ¿Cómo vamos a  recabar los datos del usuario o cliente?
  • ¿Cómo se le debe informar al cliente del tratamiento de sus datos?
  • ¿Cómo se va almacenar la información?
  • ¿Es pertinente la información que recogemos sobre él o es excesiva?.  

Y todo ello en aras de tomar las medidas preventivas adecuadas para proteger al usuario frente a los abusos en los tratamientos de sus datos, y evitar así que las empresas que efectúan el tratamiento de los mismos infrinjan la normativa.


 

2. Deber de información

Si hasta ahora se exigía información sobre quién se encuentra detrás de todo tratamiento de datos y qué tratamiento se iba a hacer de los mismos, con el nuevo Reglamento Europeo de Protección de Datos se va  a tener que detallar la información de la forma más precisa  posible.

Por ejemplo, de cara a las personas físicas, deben quedar muy claros los siguientes aspectos (entre otros):

  • La identidad del responsable de la gestión y, si procede, del delegado de protección de datos.
  • La identidad de los destinatarios o categorías de destinatarios de los datos personales.
  • Los fines del tratamiento a que se destinan los datos personales y el fundamento jurídico para dicho tratamiento.
  • La medida en que los datos van a ser tratados.
  • El plazo durante el que se conservarán los datos personales y, cuando ello no sea posible, los criterios que se utilizarán por el responsable para determinar dicho plazo.

También remarcar que los avisos legales, condiciones de contratación y políticas de privacidad de páginas web, tiendas online o aplicaciones deberán ser lo más claras y sencillas posible, utilizando un lenguaje que sea fácil de entender para todo tipo de usuario.

Éstos son sólo algunos de los aspectos informativos necesarios para cumplir con el GDPR.

3. El consentimiento

Como era previsible, el consentimiento ha cobrado especial relevancia en este Reglamento.

Si en la Directiva anterior ya se requería que el consentimiento fuese, con carácter general, libre, informado, específico e inequívoco, con el nuevo Reglamento Europeo de Protección de Datos es imprescindible que se produzca una declaración del  interesado --o bien una acción positiva-- que otorgue su conformidad para poder considerar que dicho consentimiento es “inequívoco”.


En el nuevo GDPR, el consentimiento no será válido si puede deducirse del silencio, inacción u omisión por parte del interesado.


De este modo, algunas prácticas que hasta ahora venían siendo aceptadas, como el consentimiento tácito para algunos tratamientos, no lo serán cuando el nuevo GDPR entre en vigor.

En todo caso deberá poder probarse que se ha otorgado el consentimiento, por lo que las empresas o plataformas online deberán dotarse de sistemas que así lo puedan garantizar.

En los casos de tratamiento de datos sensibles, como los datos biométricos, además, no sólo se exigirá una acción positiva implícita sino que la acción deberá ser expresa.

El tratamiento de datos de menores en el nuevo Reglamento Europeo de Protección de Datos

Respecto al tratamiento de datos de menores en el nuevo GDPR, se dispone de una regla homogénea que establece que la edad en la que los menores pueden prestar por sí mismos su propio consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales o aplicaciones móviles) es de 16 años.

Sin embargo, esa edad se puede rebajar y cada Estado miembro puede establecer la suya propia, fijando un límite no inferior en ningún caso a los 13 años.

Por ejemplo, el límite en España se ha dispuesto en los 14 años. Si se es menor a esa edad, es necesario que  padres o tutores den su consentimiento a la empresa u organización que quiera tratar los datos personales del menor.

 

4. La transparencia

Como se indicaba en el segundo apartado, debe facilitarse información clara y fácilmente inteligible a la hora de efectuar un tratamiento de datos.

Para ser lo más transparentes posible deberá facilitarse el ejercicio de derechos por parte de los usuarios: no sólo los derechos de acceso, rectificación, cancelación u oposición, sino también los derechos de reclamación o queja, así como el archiconocido derecho al olvido.  



5. La seguridad

Se requiere que las empresas y organizaciones tengan una actitud proactiva en el establecimiento de medidas de seguridad destinadas a garantizar que la infraestructura de la empresa asegura un correcto tratamiento y almacenamiento de los datos de sus clientes o usuarios.

Las principales medidas que se deben adoptar son:

  • Establecer accesos seguros al sistema de la empresa y/o a sus bases de datos.
  • Establecer procedimientos de copias de seguridad suficientes.
  • Tomar medidas especiales para evitar fugas de datos, instalación de malware o evitar o prevenir que otros riesgos relacionados ocurran, como ataques por parte de crackers, denegaciones de servicio, daño a los sistemas informáticos, etc.

También se exige una actitud proactiva por parte de las empresas en cuanto a su deber de comunicar este tipo de incidentes a las autoridades competentes y a los usuarios afectados cuando se ponga en riesgo su privacidad o intimidad.

Del mismo modo, se establece la obligación de disponer de un delegado de protección de datos cuando:

  1. "el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

  2. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

  3. las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10”.

    - Sección 4, Delegado de protección de datos - Artículo 37. Designación del delegado de protección de datos


Respecto de la seguridad, en lo relativo al tratamiento de datos entre estados que no pertenezcan a  la Unión Europea, por ejemplo, entre Estados Unidos y Europa, habrá que esperar a lo que indique finalmente el
Privacy Shield (acuerdo que sustituirá al Puerto Seguro o Safe Harbor).

CONCLUSIÓN

El objetivo del nuevo Reglamento Europeo de Protección de Datos es proteger y velar por un correcto tratamiento de datos de los usuarios, permitiendo la libre circulación de datos de ciudadanos en la Unión Europea, siempre que se traten de acuerdo con las claves aquí contempladas.  

Este post también está disponible en inglés. 


New Call-to-action



Este es un post invitado de Vanesa Alarcón Caparrós.

Vanesa es abogada especializada en nuevas tecnologías y propiedad intelectual, y socia fundadora de Avatic Abogados.

@vanesa_alarcon
@AvaticAbogados


Este es un post invitado de Vanesa Alarcón Caparrós.

Vanesa es abogada especializada en nuevas tecnologías y propiedad intelectual, y socia fundadora de Avatic Abogados.

@vanesa_alarcon
@AvaticAbogados


Topics: GDPR

Subscríbete al blog

Últimos posts