martes, 19 de julio de 2016

Boletín Extraordinario LOPD Julio 2016: Avances del nuevo reglamento europeo de Protección de Datos.

Apreciado cliente o colaborador:

La preocupación por la privacidad no caduca. Aún más, los ciudadanos y a la vez consumidores van tomando conciencia y exigen tanto a las autoridades como al sector empresarial garantías en el uso y tratamiento que se realiza de sus datos.



Las nuevas reglas europeas en materia de protección de datos recibieron el pasado 14  de abril el visto bueno definitivo del Parlamento Europeo. La reforma pretende devolver a los ciudadanos el control de sus datos personales y garantizar en toda la UE unos estándares de protección elevados y adaptados al entorno digital.
A continuación se listan los principales cambios que introduce:

Ampliación del ámbito de aplicación
  • Se amplía a responsables o encargados de tratamiento de datos no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la UE o como consecuencia de una monitorización y seguimiento de su comportamiento.
  • Garantía adicional para los ciudadanos europeos adaptada a la realidad del mundo de Internet.
Nuevos derechos para los ciudadanos
  • Reconocimiento del derecho al olvido, como consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.
  • Reconocimiento del derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.
  • Derecho a ser informado si los datos han sido pirateados.
  • Información proporcionada con un lenguaje claro y conciso. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos, si creen que hay un problema con la forma en que están manejando sus datos.
  • Necesidad de consentimiento claro y afirmativo de la persona concernida al tratamiento de sus datos personales. Para poder considerar que el consentimiento es “inequívoco”, se requerirá que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos. Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.
Cambio de paradigma: de un enfoque sancionador a un enfoque preventivo
  • Responsabilidad activa (accountability). Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. 
  • Valoración del riesgo a través de la evaluación del impacto sobre la protección de datos (DPIA – Data Privacy Impact Assesments) para determinar la necesidad y la proporcionalidad del tratamiento.
  • Privacidad desde el diseño y por defecto (“Privacy by Design” y “Privacy by Default”) en lugar de adecuación.
  • La creación de la figura del Delegado de Protección de Datos (DPO - Data Protection Officer) y previsión de la creación de mecanismos de certificación (al menos, en el ámbito público).
  • Promoción de los códigos de conducta y esquemas de certificación.
Control, supervisión y régimen sancionador
  • Mecanismos de notificación de brechas de seguridad en empresas de sectores críticos que provean servicios esenciales.
  • Responsabilidad solidaria entre el Responsable y los Encargados respecto al incumplimiento en materia de protección de datos.
  • Autorización previa de la autoridad de control para determinados tipos de tratamiento y, en particular, cuando el resultado de la evaluación del impacto sobre la protección de datos (EIPD) determine un riesgo alto.
  • Aplicación del concepto "Ventanilla Única" (One-stop-shop), para que los ciudadanos interesados puedan efectuar trámites, aunque estos afecten a autoridades en la materia de otros estados miembros.
  • Incremento de la cuantía de las sanciones: multas de hasta 20 millones de € o 4% del volumen de facturación.
Entrada en vigor y fecha de aplicación:
Tal como se había avanzado al darse a conocer el borrador, la aplicación del nuevo texto no será efectiva hasta el 25 de mayo de 2018. Los países comunitarios disponen de un plazo de dos años para trasladar los cambios de la directiva a la legislación nacional.
Para finalizar insertamos enlace de la Agencia Española de Protección de datos con información de interés al respecto:

Implicaciones prácticas del Reglamento General de Protección de Datos para entidades en el periodo de transición

La Agencia recomienda a las organizaciones que vayan adaptando sus procesos, ya que la nueva normativa supone una gestión distinta de la que se viene empleando.

El Reglamento europeo de protección de datos en 12 preguntas

Continuaremos informando de cómo se irán desarrollando las nuevas obligaciones para los Responsables y Encargados del Tratamiento.