9 min
Posted by media on 6/07/22 10:00
El Reglamento Europeo de Protección de Datos (GDPR) entró en vigor el pasado 25 de mayo de 2018 pero, aunque ya han pasado unos años desde su llegada a la vida de las empresas, muchas organizaciones tienen aún dudas respecto a cómo se deben tratar los datos personales de clientes, trabajadores y proveedores.
Tal y como se tratan estos datos personales a día de hoy, ¿se está cumpliendo con el GDPR? ¿Qué hay que hacer para cumplir con esta ley europea de protección de datos?
Por eso, en este post explicamos las 10 novedades más relevantes para las empresas tras la aplicación del Reglamento Europeo de Protección de Datos (GDPR).
¿Qué encontrarás en este post?
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, (GDPR) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos deroga la anterior Directiva 95/46/CE, texto de referencia a escala europea en dicha materia.
Este Reglamento modernizó la normativa europea sobre protección de datos y unificó las legislaciones de los diferentes estados miembros, lo que implicó un avance hacia la consecución de un verdadero mercado único digital.
Se diseñó para permitir a los ciudadanos un mejor control sobre sus datos personales y para generar así mayor confianza a los consumidores europeos que realizasen y realicen compras online en diferentes estados de la Unión.
Desde su entrada en vigor, manifestó la necesidad de las empresas a familiarizarse rápidamente con las nuevas medidas, ya que amplió las obligaciones de las empresas europeas, autónomos, administraciones públicas, y también de aquellas empresas ubicadas fuera de la Unión Europea que ofrecían y ofrecen sus productos o servicios a usuarios de países miembros, o que reciban datos personales desde la UE.
>> Post relacionado: El impacto del nuevo Reglamento Europeo de Protección de Datos en el sector asegurador
Por su importancia y extensión (consta de 173 considerandos previos y 99 artículos), reseñamos a continuación las 10 principales novedades que introdujo el Reglamento Europeo de Protección de Datos para las empresas:
El art. 5 del GDPR contiene la lista de principios a tener en cuenta en el tratamiento de datos personales.
Algunos de ellos ya estaban previstos en la LOPD, pero se añaden otros nuevos.
“Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado”.
Este principio se centra en facilitar las relaciones entre el responsable de los datos y el interesado, así como entre el responsable de los datos y las autoridades de control.
Su materialización conlleva un importante cambio, ya que desaparece la obligación de notificar y registrar los ficheros que contienen datos personales ante la autoridad de control. En España, esta autoridad es la Agencia Española de Protección de Datos (AEPD).
En el nuevo GDPR se ha definido un “Registro de actividades de tratamiento”. Este registro se llevará a cabo de forma interna y contendrá, entre otros, los siguientes datos:
En España, este nuevo registro puede integrarse de momento en el Documento de Seguridad, hasta que la Agencia Española de Protección de Datos facilite instrucciones concretas acerca de su formato y gestión.
“Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (...)
Estos fines explícitos y legítimos deberán determinarse en el momento de la recogida de los datos.
"Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.
En la edad de oro del Big Data, este principio obliga a aplicar las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento (Artículo 25.2).
La anterior Ley Orgánica de Protección de Datos establecía 4 derechos para los interesados: Acceso, Rectificación, Cancelación y Oposición (conocidos en España como derechos ARCO).
Pues bien, con el Reglamento Europeo de Protección de Datos, esta lista se amplía. Además de los derechos ARCO, se contemplan también los siguientes derechos:
Por su importantes consecuencias prácticas analizamos con más detalle el derecho al olvido y el derecho a la portabilidad:
El GDPR establece que cualquier persona tendrá derecho a que su información personal sea eliminada de los proveedores de servicios de Internet cuando lo desee, siempre y cuando quien posea esos datos no tenga razones legítimas para retenerlos.
Además, obliga a los responsables de los datos que han difundido la información a terceros a comunicarles la obligación de suprimir cualquier enlace a los datos publicados, así como a eliminar cualquier copia o réplica de dichos datos.
Su objetivo es conseguir eliminar de la red y de los buscadores cualquier rastro que haya de los datos de la persona que quiere ser “olvidada” de manera definitiva.
En el GDPR se prevé la posibilidad de transmitir los datos de un responsable a otro, de forma que el interesado tendrá derecho a que los datos personales se transmitan directamente cuando sea técnicamente posible.
Un ejemplo habitual es cuando un particular quiere cambiar de operadora de telecomunicaciones o de compañía de electricidad: la portabilidad permite que los datos personales del particular se transfieran directamente a la nueva compañía escogida, de forma ágil y sencilla para el usuario final.
Además de incorporar estos nuevos derechos, el GDPR también exige que se creen procedimientos visibles, accesibles y con un lenguaje sencillo para facilitar al interesado el ejercicio de sus derechos. Además tendrá que ser posible a través de medios electrónicos como indica el Considerando 59.
Nuestra legislación actual establece que a la hora de recoger el consentimiento de los interesados se les debía informar de la persona responsable del fichero, de la existencia de los ficheros inscritos en el Registro General de Protección de Datos, de la finalidad de la recogida de los datos y de la posibilidad de ejercitar los Derechos ARCO.
Desde mayo de 2018, además de estos datos, el Reglamento exige la obligación de informar sobre nuevos aspectos:
Es por tanto conveniente revisar las cláusulas informativas que se hayan incorporado en los procesos de recogida de datos e incluir los nuevos apartados para cumplir así con las exigencias del GDPR.
La anterior LOPD exigía el consentimiento inequívoco de los interesados para el tratamiento de sus datos. No obstante, si los datos recabados no eran especialmente sensibles (como por ejemplo los datos biométricos), se admitía que dicho consentimiento pudiera ser tácito.
El GDPR ha mantenido los mismos principios del consentimiento que establecía la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco.
Sin embargo, como novedad respecto de la LOPD, el nuevo GDPR indica que para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad.
|
El silencio, las casillas ya marcadas o la inacción no constituirán prueba de consentimiento (Considerando 32 del GDPR). |
Por otra parte, otras de las novedades importantes es en relación con el tratamiento de datos de menores.
En España, la LOPD establecía que, salvo excepciones legales, la posibilidad de recabar datos personales de mayores de 14 años sin necesidad de obtener el consentimiento de sus padres.
Desde mayo de 2018 no se pueden ofrecer servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será menos de 13 años.
En este momento, cabe recordar que, en España, la Ley de Protección de Datos personales y Garantía de Derechos Digitales (LOPDGDD) entró en vigor el 6 de diciembre de 2018, sustituyendo a la antigua Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, con el objetivo de adaptar la legislación española a la normativa europea definida por el RGPD. Por ello, es conveniente revisar la actual normativa española para un correcto cumplimiento en materia de protección de datos.
|
¿Hay que obtener el consentimiento explícito de clientes ya existentes según el nuevo GDPR? Uno de los aspectos que provocó un mayor debate fue la forma en que se iban a regular los consentimientos de clientes o usuarios obtenidos con anterioridad a la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos. En este sentido, el nuevo GDPR es tajante: si el consentimiento no se encontraba claramente identificado o se basó en formas tácitas o por omisión, deberá volverse a solicitar. Habrá que tenerlo muy en cuenta, porque el tratamiento de datos sin el consentimiento de los usuarios se entiende como una infracción muy grave según el nuevo reglamento. |
El GDPR no distingue entre los niveles de los ficheros, sino que especifica que se apliquen medidas de seguridad teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. (Artículo 25 Protección de datos desde el diseño y por defecto).
El nuevo Reglamento europeo de protección de datos habla de “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al riesgo, pero no concreta qué tipo de medidas deben aplicarse.
El GDPR, bajo el principio de responsabilidad proactiva (Artículo 5.2), exige al responsable del tratamiento que aplique las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
El GDPR propone como mecanismos efectivos de verificación del cumplimiento la adhesión a códigos de conducta o a mecanismos de certificación (artículo 42.3 del GDPR).
Por tanto, lo que el GDPR exige es que las empresas tengan una actitud consciente, diligente y proactiva del tratamiento de los datos, pudiendo demostrar, si llegara el caso, las medidas de seguridad aplicadas.
Otra nueva obligación que estableció el GDPR fue la de realizar una evaluación de impacto (Privacy Impact Assessment) para las organizaciones que realizasen o realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas. Se debe evaluar el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo (Considerando 84 del GDPR).
Otra de las novedades más importantes del momento fue la nueva obligación que el GDPR imponía e impone al responsable del tratamiento: notificar las violaciones de seguridad de los datos.
Es decir, el responsable del tratamiento de los datos deberá notificar a la autoridad competente (AEPD en España) cualquier brecha de seguridad que se haya producido en el plazo de 72 horas desde que ocurra.
Además, si la brecha implica un riesgo para los interesados, también se les deberá notificar a ellos.
El GDPR le dedica una sección entera a una nueva figura, dada la relevancia que tiene para el futuro: el Delegado de Protección de Datos (Data Protection Officer).
Esta persona es el asesor de protección de datos de la empresa, y asume competencias en materia de coordinación y control del cumplimiento de la normativa en materia de protección de datos.
Esta figura no es obligatoria para todas las organizaciones: solo tendrán que contar con un delegado las empresas públicas, las que tengan un tratamiento a gran escala o las que recojan datos especialmente sensibles o relativos a condenas o infracciones penales.
Entre las funciones que le serán encomendadas a un delegado de protección de datos se encuentran, entre otras, las siguientes:
El Delegado de Protección de Datos deberá ser designado con cualidades profesionales y, en particular, con conocimiento experto de la legislación y prácticas de protección de datos y la capacidad de cumplir con las tareas impuestas por el GDPR.
El Delegado puede elegirse de entre personal existente en la organización del responsable de los Datos o cumplir las tareas a través de un contrato de servicios.
El GDPR sigue manteniendo la existencia de los diferentes reguladores nacionales y sus funciones, pero ahora estarán coordinados por un organismo dependiente de la Comisión Europea: el Comité Europeo de Protección de Datos.
Para los titulares de los datos se establece un sistema de ventanilla única, lo que significa que en caso de que tengan que realizar una reclamación dentro de cualquiera de los Estados miembros, podrán acudir ante la autoridad de su país.
Por su parte, los responsables y encargados del tratamiento que tenga centros en diversos Estados miembros, podrán centralizar la organización de su Sistema de Gestión de la Privacidad en un único país (estableciendo una autoridad de control principal).
Una de las cuestiones que generó más debate y controversia fues la diferencia exponencial de la cuantía de las sanciones que establece el nuevo GDPR.
Si hasta mayo de 2018 las sanciones pueden ir desde 900 euros hasta 600.000, a partir de entonces no se establecen cuantías mínimas y las máximas pueden alcanzar los 20 millones de euros o hasta el 4% del volumen de negocio del infractor.
Estas son solo algunas de las numerosas novedades que incorporó el nuevo Reglamento de Protección de Datos.
Las empresas tuvieron hasta el 25 de mayo de este 2018 para adecuar sus procesos internos a los requisitos del GDPR.
Este periodo ha sido y es de vital importancia para adaptar las medidas jurídicas, técnicas y organizativas de las empresas en la recogida de datos de sus usuarios y clientes, de modo que puedan garantizar el cumplimento del GDPR, tanto a sus propios clientes como a las autoridades de supervisión nacionales y europeas.
Este post también está disponible en inglés.
Este post fue publicado originalmente el 9 de enero de 2018
