General Data Protection Regulation (GDPR)
El Diario Oficial de la UE ha publicado el Reglamento Europeo de
Protección de Datos el día 4 de mayo de 2016, por lo que será vigente a partir
del 25 de mayo próximo y de aplicación obligatoria en cada Estado miembro de la
UE a partir del 25 de mayo de 2018.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del
Consejo, de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos deroga la Directiva 95/46/CE (Reglamento General de
Protección de Datos).
Con el nuevo
Reglamento, la protección de los datos personales se convertirá en algo más que
un cumplimiento formal de obligaciones legales como venía siendo hasta ahora.
La normativa pretende propiciar una verdadera cultura de la privacidad,
debiendo de analizar los riesgos que conlleva el tratamiento, evaluar su
impacto y tener en cuenta otros muchos factores que afectan la privacidad de
las personas y la confidencialidad de sus datos.
La figura del
consultor en privacidad será de gran relevancia para acometer este objetivo. El razonamiento de la
normativa, el asesoramiento en los procedimientos a implementar y la resolución
de incidencias serán los pilares para que la cultura de privacidad se instale
en nuestro tejido empresarial y los ciudadanos europeos se sientan mucho más
protegidos.
Piera asesorias y servicios S.L.
presta servicios como consultor en privacidad www.asesoriapiera.com
Novedades con respecto a la LOPD
Ámbito territorial
Estarán sujetas al
Reglamento las empresas establecidas fuera de la UE que realicen tratamientos
de datos personales de ciudadanos residentes en la UE cuando les ofrezcan
bienes o servicios, se pague o no por ello o controlen su comportamiento.
Consentimiento del interesado
El consentimiento
para autorizar el tratamiento de datos debe ser libre, específico, informado,
explícito e inequívoco. Será tan facil retirar el consentimiento como darlo. El Responsable del tratamiento deberá
poder demostrar que se ha obtenido el consentimiento del interesado.
No será necesario obtener el consentimiento cuando el tratamiento sea necesario para el cumplimiento de obligaciones legales a las que esté sujeto el Responsable.
No será necesario obtener el consentimiento cuando el tratamiento sea necesario para el cumplimiento de obligaciones legales a las que esté sujeto el Responsable.
Información al interesado
La información deberá estar unificada y facilitada por
escrito o medios electrónicos pudiendo ser combinada con iconos formalizados. El deber de informar estará
basado en la transparencia del tratamiento y en los derechos que asisten al
interesado. Se añade la obligación de informar sobre el plazo de conservación
de los datos y las posibles transferencias internacionales.
Derechos de los interesados
·
El derecho al
olvido, como equilibrio entre el derecho a la información y el derecho a la
supresión de los datos cuando ya no sean necesarios.
·
El derecho a la
limitación del tratamiento, añadido a los existentes de oposición y supresión
para restringir el tratamiento mientras sea necesario.
·
El derecho a la
portabilidad de los datos de un Responsable del tratamiento a otro a petición
del interesado.
·
El derecho a no ser
objeto de una elaboración de perfiles basada únicamente en el tratamiento
automatizado, cuando la decisión que pueda ser tomada a consecuencia de la
misma pueda producir efectos jurídicos que puedan afectarle significativamente,
y con derecho a reclamar al Responsable una intervención humana y a impugnar la
decisión.
·
El derecho a
reclamar ante la Autoridad de control.
Seudonimización
El Reglamento
introduce el concepto de datos codificados para cuando los datos no puedan
atribuirse a un interesado sin recurrir a información adicional, separada y
sujeta a medidas de seguridad que garanticen el anonimato del mismo. Esta
práctica pretende minimizar los riesgos del tratamiento.
Rendición de cuentas
Los Responsables
del tratamiento deberán de ser capaces de demostrar el cumplimiento de todos
los principios del tratamiento que impone el Reglamento: licitud, limitación de
los fines, minimización de los datos, exactitud, limitación del plazo de
conservación, efectividad, integridad y confidencialidad.
Ficheros
Se elimina la obligación de notificar los ficheros a
la Autoridad de control. Este requisito ha resultado inutil para conseguir el
propósito inicial de concienciación para la protección de datos personales,
convirtiendo en muchos casos la simple notificación como el máximo deber del
Responsable del tratamiento.
Medidas de seguridad
Implantar medidas,
procedimientos y sistemas que garanticen la privacidad ajustados a las
necesidades, tamaño, circunstancias, contexto y finalidades del tratamiento de
datos. Ya no será necesario inventariar los equipos informáticos, el mobiliario
y los soportes como precisaba el reglamento LOPD. Bastará con establecer una
política de seguridad que garantice mediante unas prácticas de seguridad
(identificación, autenticación, accesos, permisos, tratamiento, destrucción de
documentos, copias de seguridad, etc. ) que se correspondan adecuadamente a la
protección de datos según los riesgos previstos. Existirán mecanismos de
certificación homologados para demostrar que se cumple el Reglamento.
Protección de datos desde el
diseño y por defecto
Las empresas
deberán garantizar desde el diseño y por defecto la protección de datos en
cualquier fase del tratamiento: obtención, acceso, intervención, transmisión,
conservación y supresión. Deberán asegurar que el tratamiento se realice para
fines específicos, aplicar técnicas de minimización de datos, posibilitar el
ejercicio de los derechos de los interesados y que los datos no sean accesibles
a un nº indeterminado de personas.
Evaluación de impacto
Las empresas
deberán asumir la responsabilidad de evaluar el grado de riesgo que representa
para las personas que sean objeto de tratamiento, debiendo realizar una
evaluación de impacto cuando se prevea un alto riesgo para los derechos,
libertades e intereses legítimos de las mismas. Cuando el tratamiento no
presente riesgo, la carga para el cumplimiento se verá notablemente reducida.
Las evaluaciones de impacto deberán tenerse en cuenta para nuevos
procedimientos de tratamiento.
Registro de las actividades del
tratamiento
Los Responsables y
Encargados del tratamiento tendrán la obligación de llevar un registro de
actividades cuando empleen a un mínimo de 250 personas, o el tratamiento pueda suponer
un riesgo para los derechos y libertades del interesado, o se traten categorías
especiales de datos o datos relativos a condenas y delitos penales. Este
registro estará a disposición de la Autoridad de control.
Encargados del tratamiento
Los Encargados de
tratamiento estarán sujetos a las mismas sanciones que los Responsables. Deberán
suscribir un contrato de prestación de servicios por cuenta del Responsable
siguiendo sus instrucciones, que deberán ser documentadas, incluyendo si fuera
el caso las transferencias de datos a terceros países u organizaciones
internacionales. Cuando el Encargado del tratamiento determine los fines y
medios del tratamiento por su cuenta será considerado Responsable y estará
sujeto a las normas aplicables como tal.
Corresponsables del tratamiento
Existe la nueva figura
de Corresponsable del tratamiento para cuando entre varios Responsables o
Encargados determinen los fines y los medios del tratamiento. En este caso se
deberá formalizar un acuerdo donde se determine las funciones y
responsabilidades de cada uno de ellos con respecto al tratamiento y a sus
relaciones con los interesados. Con esta figura, muchos Encargados se van a
convertir en Corresponsables del tratamiento.
Violación de datos
Se debrán notificar
las incidencias a la Autoridad de control en 72 horas, documentando la
naturaleza y el contexto de la violación y los posibles efectos de la misma.
Podrá implicar el informar a las personas afectadas cuando sea probable que
presente un alto riesgo para sus derechos y libertades o le sea exigido por la
Autoridad de control.
Delegado de protección de datos
Nueva figura a cargo del Responsable encargada de informar y asesorar
al Responsable o Encargado del tratamiento y al personal autorizado para tratar
datos, de las obligaciones relativas a la protección de datos personales en
tratamientos a gran escala o con un alto nivel de riesgo en protección de
datos.
Autoridad de control
Existirá la
“ventanilla única” para cuando un negocio se desarrolla en varios estados de la
UE. La Autoridad de control de la sede central de la empresa actuará como la
autoridad principal de las actividades de tratamiento de datos que tienen un
impacto en toda la UE. Las reclamaciones y posibles violaciones del Reglamento
se podrán tramitar a cualquier Autoridad de control competente de donde
pertenezca el interesado.
Sanciones
Las multas serán
proporcionales a cada caso particular. Habrá un incremento de la cuantía
sancionable que podrá llegar, en casos graves, al 4% de la facturación en todo
el mundo.
Más en www.asesoriapiera.com
No hay comentarios:
Publicar un comentario