Apreciado
cliente o colaborador:
La
preocupación por la privacidad no caduca. Aún más, los ciudadanos y a la vez
consumidores van tomando conciencia y exigen tanto a las autoridades como al
sector empresarial garantías en el uso y tratamiento que se realiza de sus
datos.
Las
nuevas reglas europeas en materia de protección de datos recibieron el pasado 14 de abril el
visto bueno definitivo del Parlamento Europeo. La reforma pretende devolver a
los ciudadanos el control de sus datos personales y garantizar en toda la UE
unos estándares de protección elevados y adaptados al entorno digital.
A
continuación se listan los principales cambios que introduce:
Ampliación del ámbito de aplicación
- Se
amplía a responsables o encargados de tratamiento de datos no establecidos
en la UE siempre que realicen tratamientos derivados de una oferta de
bienes o servicios destinados a ciudadanos de la UE o como consecuencia de
una monitorización y seguimiento de su comportamiento.
- Garantía
adicional para los ciudadanos europeos adaptada a la realidad del mundo de
Internet.
Nuevos derechos para los ciudadanos
- Reconocimiento
del derecho al olvido,
como consecuencia del
derecho que tienen los ciudadanos a solicitar, y obtener de los
responsables, que los datos personales sean suprimidos cuando, entre otros
casos, estos ya no sean necesarios para la finalidad con la que fueron
recogidos, cuando se haya retirado el consentimiento o cuando estos se
hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal
de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por
primera vez el derecho al olvido recogido ahora en el Reglamento europeo,
supone que el interesado puede solicitar
que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones
que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes
y no sean de interés público, entre otros motivos.
- Reconocimiento
del derecho
a la portabilidad
implica que el
interesado que haya proporcionado sus datos a un responsable que los esté
tratando de modo automatizado podrá solicitar recuperar esos datos en un
formato que le permita su traslado a otro responsable. Cuando ello sea
técnicamente posible, el responsable deberá trasferir los datos
directamente al nuevo responsable designado por el interesado.
- Derecho
a ser informado
si los datos han sido pirateados.
- Información
proporcionada con un lenguaje
claro y conciso. Por
ejemplo, habrá que explicar la base legal para el tratamiento de los
datos, los períodos de retención de los mismos y que los interesados puede
dirigir sus reclamaciones a las Autoridades de protección de datos, si
creen que hay un problema con la forma en que están manejando sus datos.
- Necesidad
de consentimiento
claro y afirmativo de la persona concernida al tratamiento
de sus datos personales. Para poder considerar que el consentimiento es
“inequívoco”, se requerirá que haya una declaración de los interesados o
una acción positiva que indique el acuerdo del interesado. El
consentimiento no puede deducirse del silencio o de la inacción de los
ciudadanos. Las empresas deberían revisar la forma en la que obtienen y
registran el consentimiento. Prácticas que se encuadran en el llamado
consentimiento tácito y que son aceptadas bajo la actual normativa dejarán
de serlo cuando el Reglamento sea de aplicación.
Cambio de paradigma: de un enfoque sancionador a un enfoque
preventivo
- Responsabilidad activa (accountability).
Las empresas deben adoptar medidas que aseguren razonablemente que están
en condiciones de cumplir con los principios, derechos y garantías que el
Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se
ha producido una infracción es insuficiente como estrategia, dado que esa
infracción puede causar daños a los interesados que pueden ser muy
difíciles de compensar o reparar.
- Valoración
del riesgo a través de la evaluación
del impacto sobre la protección de datos (DPIA – Data
Privacy Impact Assesments) para determinar la necesidad y la
proporcionalidad del tratamiento.
- Privacidad
desde el diseño y por defecto (“Privacy by Design” y “Privacy by Default”)
en lugar de adecuación.
- La creación de la figura del Delegado de Protección de Datos
(DPO - Data Protection Officer) y previsión de la creación de mecanismos
de certificación (al menos, en el ámbito público).
- Promoción
de los códigos de
conducta y esquemas de certificación.
Control, supervisión y régimen sancionador
- Mecanismos
de notificación de brechas
de seguridad en empresas de sectores críticos que provean
servicios esenciales.
- Responsabilidad
solidaria entre el Responsable y los
Encargados respecto al incumplimiento en materia de protección de datos.
- Autorización
previa de la autoridad de control
para determinados tipos de tratamiento y, en particular, cuando el
resultado de la evaluación del impacto sobre la protección de datos (EIPD)
determine un riesgo alto.
- Aplicación del concepto "Ventanilla Única"
(One-stop-shop), para que los ciudadanos interesados puedan efectuar
trámites, aunque estos afecten a autoridades en la materia de otros
estados miembros.
- Incremento de la cuantía de las sanciones: multas
de hasta 20 millones de € o 4% del volumen de facturación.
Entrada
en vigor y fecha de aplicación:
Tal
como se había avanzado al darse a conocer el borrador, la aplicación del nuevo
texto no será efectiva hasta el 25 de mayo de 2018. Los países comunitarios disponen de un
plazo de dos años para trasladar los cambios de la directiva a la legislación
nacional.
Para
finalizar insertamos enlace de la Agencia Española de Protección de datos con
información de interés al respecto:
Implicaciones prácticas del Reglamento General de Protección de
Datos para entidades en el periodo de transición
La Agencia recomienda a las organizaciones que vayan adaptando sus procesos,
ya que la nueva normativa supone una gestión distinta de la que se viene
empleando.El Reglamento europeo de protección de datos en 12 preguntas
Continuaremos
informando de cómo se irán desarrollando las nuevas obligaciones para los
Responsables y Encargados del Tratamiento.