Nuevo Reglamento Europeo de Protección de Datos (RGPD) 2018

Principales Novedades del Reglamento Europeo de Protección de Datos 2018 (RGPD)

I.- Introducción al Reglamento RGPD

En el próximo mes de mayo de 2018 resultará de aplicación el nuevo Reglamento General de Protección de Datos de la Unión Europea -en adelante, RGPD (GDPR, son sus siglas en inglés)-. La realidad es que el texto entró en vigor en el mes de mayo de 2016 y hemos tenido este periodo transitorio para adecuar nuestras organizaciones a lo previsto en el RGPD.

En el contexto actual, resulta complejo ser didáctico sobre la normativa que hemos venido aplicando hasta la actualidad y la que empezaremos a aplicar en mayo de 2018. Y es que, mientras que nos preparamos para las novedades del RGPD sigue vigente lo establecido en la Directiva 95/46 y en las distintas normas nacionales de los Estados que realizaron la correspondiente transposición -adaptación-. En lo que respecta a España, nuestra norma nacional de desarrollo de la Directiva es la Ley Orgánica Española de Protección de Datos -en adelante, LOPD-, existiendo un Anteproyecto de Ley –ALOPD– sobre la mesa que en teoría debería estar lista para mayo de 2018, veremos.

Lo mejor de todo -o la buena noticia- es que en España disponemos de una de las legislaciones más avanzada en materia de protección de datos personales, un modelo que incluso ha sido exportado por nuestra Agencia Española de Protección de Datos a Agencias de otros países externos a la Unión Europea. Y como no, lo anterior también tiene su reflejo en el RGPD. El nuevo texto contiene numerosos conceptos, principios y medidas ya establecidas en la Directiva 95/46, por tanto, si actualmente nuestra organización cumple fielmente con lo dispuesto en la LOPD ya tendríamos un gran camino recorrido de cara al cumplimiento normativo.

No obstante lo anterior, el nuevo Reglamento europeo de protección de datos presenta nuevos conceptos, principios, derechos, mecanismos y modifica en algunos puntos al régimen que hemos venido manteniendo. Son novedades positivas, que actualizan la regulación sobre la materia y que van a exigir un mayor compromiso por parte de los actores implicados en un contexto cada vez más digital y de Internet.

Esta entrada pretende ser una presentación de esa serie de novedades en un modo muy esquemático y resumido, sabes que siempre podrás acudir al texto del RGPD para ampliar conocimientos. También puedes preguntarnos tus dudas, desde TEGÕ estaremos encantados de atenderte. En cualquier caso, trataremos de ir presentándote y desgranando cada una de las novedades del RGPD en diferentes entradas aportando así las cuestiones que consideremos más relevantes.

II.- El riesgo y la Responsabilidad Proactiva -Accountability-

Todas estas novedades que nos trae el RGPD (Reglamento europeo de protección de datos) podría establecerse que giran en torno a dos conceptos superiores: el del riesgo y el de la responsabilidad proactiva.

El nuevo RGPD establece que las medidas que establezca el responsable o encargado de tratamiento a fin de de garantizar el cumplimiento legal tienen que tener en consideración la naturaleza, el ámbito, el contexto y los fines del tratamiento pero también el riesgo que exista para los derechos y libertades de las personas.

Asimismo, en relación con la responsabilidad proactiva del RGPD se desprende que la establece más bien como un principio, al entenderla como la necesidad de que el responsable o encargado de tratamiento aplique las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD.

Por tanto, se observa de los dos conceptos anteriores que a nivel práctico se va a requerir que las organizaciones analicen minuciosamente qué datos tratan, con qué finalidades y qué actividades de tratamiento realizan. Y, en base a lo anterior, adaptar esas medidas que resulten de aplicación a las particularidades de cada organización.

III.- Principales novedades del Reglamento Europeo

Información

El RGPD exige que la información que se brinde a los interesados sea concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Por tanto, habrá que evitar cláusulas y textos legales excesivamente largos, complicadas redacciones de los mismos que inciten de por sí a la “no lectura”.

Bases de legitimación

Cualquier tratamiento de datos que se practique deberá estar respaldado por una base legal que lo legitime -el consentimiento, un contrato, una obligación legal, el interés legítimo, público…-. Por tanto, habrá que analizar y documentar correctamente esas bases de legitimación a fin de demostrar que el tratamiento es acorde a la normativa.

Consentimiento

Con la aplicación del RGPD el consentimiento deberá ser inequívoco, es decir, que se haya prestado a través de una manifestación del interesado o mediante una clara acción afirmativa. Por tanto, dejan de ser válidas las fórmulas de consentimiento tácita o por omisión empleadas hasta el momento ya que se sustentan en la inacción del titular de los datos.

Derechos

Se mantienen en el RGPD los derechos ARCO –Acceso, Rectificación, Cancelación y Oposición– y se establecen nuevos derechos junto a las características que deben contener los procedimientos de atención a titulares de los datos al ejercer sus derechos. Las organizaciones tienen que posibilitar a los titulares el ejercicio de sus derechos, así como la manera de hacerlo y los pasos a seguir en un modo visible, de fácil acceso y sencillo.

Se incorpora el derecho al olvido como consecuencia de la aplicación del derecho al borrado de los datos personales, realmente es una manifestación de los derechos de cancelación u oposición en entornos digitales tras el caso Google en España.

El Reglamento europeo de Protección de Datos establece también la posibilidad de ejercer una limitación en el tratamiento, pudiendo el titular de los datos solicitar que no se apliquen las operaciones de tratamiento que en su caso correspondan.

El derecho a la portabilidad de los datos se establece en el RGPD como un avance en el ejercicio del derecho de acceso ya que con este nuevo derecho la copia que se proporciona al titular de los datos debe ser entregada en un formato con estructura, que pueda leerse de forma mecánica y que sea de uso común. Por tanto, este derecho únicamente podrá ejercerse bajo determinadas condiciones.

Protección de Datos desde el Diseño y por Defecto

Las organizaciones deben aplicar medidas organizativas y técnicas para integrar en los tratamientos de datos garantías de aplicar correctamente el RGPD. Esta es una medida que el RGPD considera que debe aplicarse con anterioridad al tratamiento, pero también cuando se esté desarrollando. Obliga a las organizaciones a pensar en términos de protección de datos desde el mismo momento en el que se diseña un tratamiento de datos.

Evaluación de Impacto sobre la Protección de Datos

Con el nuevo Reglamento europeo de protección de datos los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la Protección de Datos antes de realizar todo tratamiento de datos que pueda conllevar un alto riesgo para los derechos y libertades de los interesados. Se articula en el RGPD el contenido mínimo que debería tener esa evaluación pero la realidad es que no se establece ninguna metodología específica.

Registro de actividades de tratamiento

Los responsables y encargados del tratamiento de los datos deberán establecer registros de las distintas operaciones de tratamiento que realicen, conteniendo toda la información establecida en el RGPD -nombre y dato del responsable, finalidades, categoría de interesados, categoría de datos personales tratados, etc.-.

Delegado de Protección de Datos

El nuevo reglamento europeo de protección de datos establece esta figura obligatoria en autoridades y organismos públicos y en responsables o encargados que entre sus actividades principales realicen un tratamiento que requiera una observación habitual y sistemática de interesados o de datos sensibles a gran escala.

Análisis de riesgo

La nueva normativa establece que la adopción de una serie de medidas u otras por parte de las organizaciones estará condicionada al riesgo que los tratamientos que practiquen puedan suponer para los derechos y libertades de los titulares de los datos.

Medidas de Seguridad

Anteriormente al RGPD (Reglamento europeo de protección de datos) la normativa establecía al detalle qué medidas de seguridad había que aplicar en función de si se trataban datos de nivel básico, medio o alto. Con la aplicación del RGPD serán las organizaciones las que tengan que establecer las medidas técnicas y organizativas que correspondan a fin de cumplir con sus obligaciones legales en esta materia y garantizar la seguridad de los datos.

Notificación de brechas de seguridad de los datos

El Reglamento Europeo de Protección de Datos establece que se entenderá por brecha, quiebra o violación de seguridad de los datos a todo incidente que origine la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos. En base a lo anterior, cuando exista una brecha de seguridad de los datos el responsable deberá notificar de este hecho a la autoridad competente en la materia siempre y cuando suponga un riesgo para los derechos y libertades de los afectados.

Eleazar García, Responsable del Área de Privacidad y Protección de Datos

_____________

Imágenes bajo licencia CC0 Creative Commons: TheDigitalArtist en Pixabay