NUEVO REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA U.E.: ES EL MOMENTO DE TOMAR MEDIDAS.

image_pdfimage_print
Share Button

El Reglamento General de Protección de Datos de la Unión Europea ha entrado en vigor el 25 de mayo de 2016, pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Entre las novedades destaca el derecho al olvido y el derecho a la portabilidad o el derecho a trasladar los datos a otro proveedor de servicios. Además, se pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Es importante que su empresa empiece a revisar sus avisos de privacidad y otras modificaciones que introduce la norma.

 

Se ha publicado en el Diario Oficial de la Unión Europea DOUE de 4 de mayo de 2016 el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE , y donde se establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.

El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española (LOPD), siguen siendo plenamente válidas y aplicables.

No obstante, es importante que las empresas se vayan adaptando a la nueva normativa, revisen sus avisos de privacidad y que no esperen hasta última hora.

 

¿Qué principales novedades recoge el nuevo Reglamento de Protección de Datos?

a) El llamado “derecho al olvido”, que permitirá la rectificación o la supresión de datos personales e información.

El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

b) El tratamiento de datos personales deberá contar con un deber de información y consentimiento reforzado, claro y afirmativo.

 c) Se fijan restricciones a los menores de 13 años en el acceso a las redes sociales, si bien cada Estado podrá aumentarlo hasta los 16, necesitando autorización de sus padres para el tratamiento de sus datos.

En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores.

Atención. En el caso de las empresas que recopilen datos personales, es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.

d) El reconocimiento de nuevos derechos como el de la “portabilidad”, que implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.

 e) Informaciones respecto a las brechas de seguridad y el derecho a ser informado en dichos casos cuando se ponga en peligro la privacidad.

f) La figura del delegado de protección de datos obligatoria para algunas empresas, la rendición de cuentas “accountability”.

g) Se impone la utilización de un lenguaje claro y comprensible en las cláusulas de privacidad.

Atención. Las empresas deben revisar sus avisos de privacidad. El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos. Si creen que hay un problema con la forma en que están manejando sus datos. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.

h) Será de aplicación a todas las empresas que procesen datos de ciudadanos de la UE, con independencia de si su sede está fuera de la UE.

i) Cambios en el régimen sancionador con multas que pueden alcanzar hasta el 4% de la facturación global de la empresa infractora.

Atención. Las infracciones más graves pueden ser sancionadas con multas de hasta 20.000.000 de euros y, si el infractor es una empresa, la multa puede alcanzar una cuantía equivalente al 4% de su cifra de negocios.

 

 ¿Cambia la forma en la que hay que obtener el consentimiento?

Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es “inequívoco”, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.

Además, el Reglamento prevé que el consentimiento haya de ser “explícito” en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles en cuestión.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

 

¿Tienen las empresas que empezar a aplicar ya las medidas contempladas en el Reglamento?

Aunque el Reglamento está en vigor no será aplicable hasta 2018, puede ser útil para las empresas que tratan datos empezar ya a valorar la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España.

En general, las empresas que tratan datos personales deberían comenzar a preparar la aplicación de estas medidas. Por ejemplo, el Reglamento exige que los responsables de tratamiento faciliten a los interesados el ejercicio de sus derechos. Aunque la interpretación de “facilitar” pueda variar dependiendo de los casos, incluye en todos ellos algún tipo de actuación positiva por parte de los responsables para hacer más accesibles y sencillas las vías para el ejercicio de derechos.

La ventaja de una pronta aplicación es que permitirá detectar dificultades, insuficiencias o errores en una etapa en que estas medidas no son obligatorias y, en consecuencia, su corrección o eficacia no estarían sometidas a supervisión. Ello permitiría corregir errores para el momento en que el Reglamento sea de aplicación.

 

 

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Time limit is exhausted. Please reload the CAPTCHA.

*