Nueva regulación sobre la Protección de Datos en la UE

regulation-3246979_960_720La rápida evolución tecnológica y la globalización han hecho que la magnitud de la recogida y el intercambio de datos personales aumenten significativamente.

Internet hace accesible gran parte de la información relativa a los sujetos desde cualquier punto del planeta, y no permite olvidar. Diversos datos relativos a nuestra persona; identidad, domicilio, datos bancarios… dejan de pertenecer a nuestro ámbito privado, a ser una información que está en nuestra mano manejar para convertirse en un componente más de la inmensa nube de información que es Internet.

Esto se ha visto fomentado por la cantidad de empresa y organismos que han comenzado a trabajar en línea, de modo que ni tan siquiera es necesario que seamos nosotros mismos los que expongan – conscientemente o no – dichos datos, si no que basta con que realicemos las operaciones más cotidianas para que estemos expuestos a este riesgo.

Las autoridades europeas, conscientes de los riesgos que entraña el auge de las nuevas tecnologías, han dado un paso más en materia de protección de datos, elaborando a tal efecto el nuevo Reglamento General de Protección de Datos (RGPD), este entró en vigor en mayo de 2016 y será aplicable a partir de mayo de 2018.

El RGPD es una norma directamente aplicable, que no requiere de normas internas de trasposición, ni tampoco, en la mayoría de los casos, de normas de desarrollo o aplicación. Por ello, la norma de referencia pasará a ser el RGPD y no las normas nacionales.

El RGPD contiene muchos conceptos, principios y mecanismos similares a los establecidos por la Directiva 95/46 y por las normas nacionales que la aplican. Por ello, las organizaciones que en la actualidad cumplen adecuadamente con la Ley Orgánica de Protección de Datos española tienen una buena base de partida para evolucionar hacia una correcta aplicación del nuevo Reglamento.

Sin embargo, el RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.

Las novedades de mayor importancia introducidas por el RGPD, que, además, se proyectarán sobre todas las obligaciones de las organizaciones son:

  • El principio de responsabilidad proactiva

 

El RGPD describe este principio como la necesidad de que el responsable del tratamiento de los datos aplique medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

Es decir, este principio exige que las organizaciones analicen qué datos tratan, con qué finalidad y qué tipo de operaciones emplean para ello.

A partir del conocimiento de estas cuestiones deben determinar de forma explícita qué medidas del RGPD aplicarán, asegurándose de que son las adecuadas para cumplir los fines del mismo.

En resumen, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.

  • El enfoque de riesgo

 

Este enfoque pretende garantizar que las medidas previstas en el RGPD para asegurar su cumplimiento sean acordes a la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas.

Según este enfoque, algunas de las medidas previstas por el RGPD solo se aplicarán cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.

De modo que la aplicación de dichas medidas deberá adaptarse a las características de las organizaciones, ya que aquellas medidas que pueden resultar adecuadas para una organización que maneja datos de millones de interesados, o involucra información sensible, no serían necesarias para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.

  • El consentimiento debe ser “inequívoco”

 

El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa.

A diferencia del Reglamento de Desarrollo de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción.

 

  • Transparencia en la información a los interesados

 

La información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

(La LOPD sólo exige que la información se preste de modo expreso, preciso e inequívoco)

  • Derechos

 

El RGPD incluye algunos nuevos derechos.

  • Derecho de acceso; Se reconoce el derecho a obtener una copia de los datos personales objeto del tratamiento.
  • Derecho al olvido; es una manifestación de los derechos de cancelación u oposición en el entorno online.
  • Limitación de tratamiento: supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían
  • Portabilidad: es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica.

 

  • Relaciones entre el responsable de protección de datos y el encargo del tratamiento

 

Hay 3 novedades que los responsables y encargados deben tomar en consideración:

  • El RGPD contiene obligaciones expresamente dirigidas a los encargados. La responsabilidad última sobre el tratamiento sigue estando atribuida al responsable, que es quien determina la existencia del tratamiento y su finalidad.
  • Según el RGPD, el responsable deberá adoptar medidas apropiadas, incluida la elección de encargados, de forma que garantice y esté en condiciones de demostrar que el tratamiento se realiza conforme el RGPD (principio de responsabilidad activa).
  • Las relaciones entre el responsable y el encargado deben formalizarse en un contrato o en un acto jurídico que vincule al encargado respecto al responsable.

 

      •  Medidas de Seguridad

Antes el Reglamento de Desarrollo de la LOPD determinaba con detalle y de forma exhaustiva las medidas de seguridad que debían aplicarse según el tipo de datos objeto de tratamiento. Ahora, en el RGPD, los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

 

 

 

FacebookTwitter

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *


9 − 6 =

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>