Aplicación práctica del nuevo Reglamento Europeo de Protección de Datos (RGPD 2016/679). Análisis comparativo.

Publicado el por Gesing Consultores
El pasado 25 de mayo entró en plena aplicación el Reglamento General de Protección de Datos (RGPD) de la Unión Europea: “REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos” (publicado en el Diario Oficial de la Unión Europea de 4 de mayo de 2016), y por el que se deroga la anterior Directiva 95/46/CE.

Imagen artículo nuevo RGPD

Si bien ya había entrado en vigor el 25 de mayo de 2016, su aplicación efectiva no se ha producido hasta la reciente fecha mencionada. Durante ese plazo de casi dos años era aconsejable para las empresas y organismos iniciar el proceso de adecuación progresivo y continuo en todos aquellos aspectos del nuevo Reglamento que sean compatibles con la normativa vigente. La propia Agencia Española de Protección de Datos recomendaba que las organizaciones fueran adaptando sus procesos internos a las novedades legislativas. A fecha actual ya es urgente para todas las empresas, profesionales y organizaciones, poder demostrar  el cumplimiento de las prescripciones que el RGPD establece, en función de las actividades que desempeñen y el tráfico, contenido y volumen de la información que utilicen.
Pero, ¿por dónde empezar?, ¿cómo ir adecuando la actividad de las organizaciones a la nueva regulación?; ¿qué novedades introduce el Reglamento General de Protección de Datos y cómo compaginar su cumplimiento con la normativa anterior?
Son muchas las cuestiones y retos que se plantean, por lo que, con el fin de facilitar este proceso, indicamos a continuación las principales novedades del RGPD respecto de la anterior Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y proponemos las recomendaciones para la adecuación progresiva a la nueva normativa. Es importante tener en cuenta que dicha Ley 15/1999 no ha sido derogada más que en los preceptos que contradigan lo dispuesto por el nuevo RGPD 2016/679, ahora de plena aplicación, por lo que las disposiciones que no sean contrarias al mismo se consideran, aún, igualmente válidas. Así mismo, el nuevo RGPD es derecho imperativo vigente en todo el espacio común europeo, sin necesidad de que los estados de la Unión Europea aprueben normativas de trasposición del mismo a sus respectivos ordenamientos jurídicos. Cosa diferente es la nueva Ley Orgánica de Protección de Datos de carácter personal, que previsiblemente será aprobada por el legislativo español en los próximos meses, y a la que también habrá que estar pues fijará criterios interpretativos y complementará lo dispuesto por el RGPD de la Unión Europea.
  1. Obtención del consentimiento para el tratamiento de datos.
  • Situación anterior (LOPD): La anterior LOPD exigía el consentimiento inequívoco de los interesados para el tratamiento de sus datos. No obstante, si los datos recabados no eran especialmente sensibles, se admitía que dicho consentimiento pudiera ser tácito, tal y como se establece en el Informe Jurídico 0645/2009 emitido por la Agencia Española de Protección de Datos. Por otra parte, en relación con el tratamiento de datos de menores, la LOPD establecía, salvo excepciones legales,  la posibilidad de recabar datos personales de mayores de 14 añossin necesidad de recabar el consentimiento de sus padres.
  • Normativa actual (RGPD): El RGPD mantendrá los mismos principios del consentimiento que establece la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco. Sin embargo, como novedad respecto de la LOPD, indica que para poder considerar que el consentimiento es inequívoco, deberá existir  una declaración del interesado o una acción positiva que manifieste su conformidad. El silencio, las casillas ya marcadas o la inacción no constituirán prueba de consentimiento (Considerando 32 del RGPD).
Se establecen asimismo condiciones específicas para obtener el consentimiento de los menores: no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior, que en ningún caso podrá ser menor de 13 años.
  • Actuación: Las empresas, profesionales y entidades de todo tipo deben revisar  la forma en la que recaban el  consentimiento y eliminar las prácticas que se encuadran en el llamado consentimiento tácito, que ya no son aceptadas por el actual RGPD.
  1. Deber de información.
  • Situación anterior (LOPD): El régimen anterior establecía la obligación de informar en todo proceso de recogida de datos personales sobre la existencia de un fichero o tratamiento de datos de carácter personal, la identidad del responsable del tratamiento,  la finalidad de la recogida de los datos y de los destinatarios de la información, así como de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.  Asimismo, cuando los datos personales se hubieran obtenido de terceros, el responsable del tratamiento disponía de un plazo de tres mesespara informar al interesado, debiendo indicar la procedencia de los datos.
  • Normativa aplicable desde el 25/5/2018 (RGPD): El Reglamento establece la obligación de informar sobre nuevos aspectos. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, el período de conservación de los mismos y que los interesados podrán dirigir sus reclamaciones a las Autoridades de protección de datos si consideran que hay un problema con la forma en que se está manejando la información de que son titulares.  En lo que respecta al interesado cuyos datos se han obtenido de otra fuente, la información anteriormente indicada deberá facilitarse en el plazo máximo de un mes(en lugar de los tres meses indicados en la LOPD).
  • Actuación: Todas las empresas y organismos deben revisar los contenidos de las leyendas legales que hayan incorporado en los procesos de recogida de datos (on line/ off line) para adecuar su redacción a los nuevos requerimientos del RGPD
  1. Derechos de los interesados.
  • Situacion anterior (LOPD): los derechos reconocidos en la anterior LOPD eran los siguientes:
    • Derecho de acceso.
    • Derecho de rectificación.
    • Derecho de oposición.
    • Derecho de cancelación.
  • Normativa actual (RGPD): En el RGPD se incluyen, además de los anteriores, los siguientes derechos:
    • Derecho a la transparencia de la información (es decir, acceso sin reserva y al contenido íntegro de la información).
    • Derecho de supresión (derecho al olvido).
    • Derecho de limitación (entendido como la obligación de los administradores de datos de no disponer de más información que la estrictamente necesaria para el cumplimiento de su finalidad, la cual deben haber comunicado de forma expresa al recabar el consentimiento para la cesión de los datos).
    • Derecho de portabilidad (o derecho por el que el titular de los datos puede requerir el traspaso de los mismos de una entidad a otra).
Otra novedad, respecto de la LOPD, es que se establece la obligación para el responsable del tratamiento de proporcionar medios para que las solicitudes de ejercicio de derechos se presenten por medios electrónicos, en particular cuando los datos personales se hayan recabado a través de estos medios (Considerando 59 del RGPD).
  • Actuación: Todas las organizaciones deben implementar en sus procedimientos de información (leyendas legales incluidas en los procesos de recogida de datos de carácter personal) los nuevos derechos que asisten a los interesados.
  1. Evaluación de impacto del tratamiento de datos personales.
  • Situación anterior (LOPD): Este aspecto no se contemplaba en la LOPD.
  • Normativa actual (RGPD): Se establece  la obligación de realizar una evaluación de impacto (Privacy Impact Assesment) para todas las entidades que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas, en la que se evalúe el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo (Considerando 84 del RGPD).
  • Actuación: En 2014, la Agencia Española de Protección de Datos publicó la Guía para una Evaluación de Impacto en la protección de Datos Personales. Se trata de un documento de referencia del que las organizaciones disponen para establecer las bases y aspectos esenciales que deberán tener en cuenta en el proceso de la evaluación de impacto que deben realizar.
​​5. Comunicación de fallos a la autoridad de protección de datos.
  • Situación anterior (LOPD): No se regulaba en la LOPD.
  • Normativa actual en 2018 (RGPD): Se trata de una nueva obligación del RGPD que impone al responsable del tratamiento la obligación de notificar los fallos de seguridad que se produzcan en su organización, a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas. El responsable del tratamiento debe contar con un sistema efectivo para realizar el reporte a la AEPD o para comunicar el fallo a los afectados si existe algún riesgo para sus derechos.
  • Actuación: Las entidades tienen que establecer  procesos internos para canalizar las comunicaciones de brechas de seguridad o incidentes que afecten a la protección de datos. Estas comunicaciones internas deben realizarse a la persona que asumirá la figura de Delegado de Protección de Datos o, en su defecto, a la persona encargada de coordinar el cumplimiento de la normativa de protección de datos.
  1. Registro de tratamiento de datos.
  • Situación anterior (LOPD): Sin regulación en la LOPD.
  • Normativa actual en 2018 (RGPD): Según lo previsto en el artículo 30 del RGPD, las organizaciones que habitualmente realicen tratamiento de datos de riesgo para la privacidad de los interesados,  o traten datos sensibles, deberán contar con un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener información relativa, entre otros aspectos, a los tratamientos de datos que se realicen, los datos personales que se traten, los destinatarios de los datos, los plazos previstos para la supresión, la finalidad de dicho tratamiento y las medidas técnicas y de seguridad adoptadas por la empresa para realizar dicho tratamiento.
  • Actuación: Las entidades que traten datos de riesgo para la privacidad de los interesados o traten datos sensibles (salud, orientación sexual, religión, afiliación, etc) deben poner en marca la redacción de este Registro de tratamiento de datos. En la práctica, toda entidad u organización necesita implementar este Registro de Medidas de Tratamiento desde el momento en que se manejen cualesquiera datos privados de terceras personas, y mantenerlo activo y actualizado a lo largo del tiempo, pues la responsabilidad meramente pasiva en el cumplimiento de los requisitos de protección de datos que contemplaba la antigua LOPD, se transforma en una exigencia proactiva en el nuevo RGPD, de tal manera que es necesario poder demostrar, en cualquier momento, que se están cumpliendo todas las prescripciones legales y desarrollando las medidas necesarias al efecto. Si bien los principios generales de este Registro son muy similares a las medidas e instrucciones reflejadas en el antiguo Documento de Seguridad, en la web de la Agencia Española de Protección de Datos se puede encontrar un modelo de formato y gestión de este registro interno (no hay un formato obligatorio pero sirve de ejemplo ilustrativo acerca de su contenido).
  1. Aplicación de medidas de seguridad.
  • Situación anterior (RLOPD): El RD 1720/2007, de 21 de diciembre, que aprobó el Reglamento de desarrollo de la anterior Ley Orgánica de Protección de Datos (RLOPD), establecía la obligación de aplicar diferentes medidas de seguridad, en función del nivel básico, medio o alto de los datos tratados.  Dichas medidas se concretaban y describían en el Documento de Seguridad.
  • Normativa actual en 2018 (RGPD): El RGPD ya no distingue entre ficheros de nivel básico, medio o alto, sino que especifica que las medidas de seguridad se aplicarán teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. La nueva legislación habla de “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al riesgo, pero no concreta qué tipo de medidas deben aplicarse, a diferencia de lo que ocurre con el actual RLOPD que describe de manera detallada cada medida de seguridad que debe implementar el responsable del tratamiento.
  • Actuación: A la espera de una eventual mayor concreción en la futura Ley Orgánica de Protección de Datos de carácter personal, hay que mantener actualizadas las medidas que entonces se recogían en el Documento de Seguridad, siempre que tales medidas técnicas y organizativas sean adecuadas para garantizar la seguridad, integridad y privacidad de la información de carácter personal tratada, y reflejar la descripción de esas medidas de tratamiento así como cualquier intervención de desarrollo de las mismas en el ya citado Registro de Medidas de Tratamiento.
  1. Delegado de protección de datos (DPO).  
  • Situación anterior (RLOPD): El RLOPD, recogía en su artículo 95 la figura de Responsable de Seguridad, cuya designación era obligatoria en caso de tratamiento de ficheros de nivel medio/alto. Sus funciones se centraban en coordinar la implementación de las medidas de seguridad establecidas en el mencionado RLOPD.
  • Normativa actual en 2018 (RGPD): Se introduce la nueva figura del Data Protection Officer o Delegado de Protección de Datos, que asume nuevas y cualificadas competencias en materia de coordinación y control del cumplimiento de la normativa de protección de datos.  Sus funciones se centran en:
1- Informar y asesorar al responsable del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el Reglamento General. Debe dejar constancia en papel de las comunicaciones con el responsable del tratamiento y sus respuestas.
2- Supervisar la aplicación de las normas por el encargado del tratamiento en materia de protección de datos personales. Dentro de este apartado se incluyen la asignación de responsabilidades, la formación del personal y las auditorías correspondientes.
3- Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
4- Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella por solicitud de las mismas o por iniciativa propia.
5- Ejercer de punto de contacto con la autoridad de control sobre cuestiones relacionadas con el tratamiento de datos personales.
El DPO es obligatorio cuando:
– El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
– Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de datos a gran escala.
– Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.
  • Actuación: Aquellas organizaciones que deban contar con un Delegado de Protección de Datos deben designar ya esta figura, con el fin de que el DPO desarrolle el proceso de implementación de las novedades legislativas del RGP, así como para difundir en la organización los nuevos procedimientos internos.
  1. Privacidad desde el diseño y por defecto, códigos de conducta y esquemas de certificación.
  • Situación anterior (LOPD): No se regulaba en la LOPD.
  • Normativa actual (RGPD): Se avanza un paso más para reforzar el concepto de accountability empresarial, es decir, la responsabilidad proactiva en el  cumplimiento normativo. Para ello, el RGPD establece la privacidad desde el diseño y por defecto, con el fin de que se garantice el cumplimiento con carácter previo al tratamiento de datos y durante dicho tratamiento. Asimismo, el RGPD propone como mecanismos efectivos de verificación del cumplimiento,  la adhesión a códigos de conducta o a mecanismos de certificación (artículo 42.3 del  RGPD).
  • Actuación: Es aconsejable que las organizaciones que tengan procesos complejos de tratamiento de datos o manejen datos especialmente sensibles, implementen protocolos internos o procesos de certificación que faciliten y garanticen el cumplimiento del RGPD.
    Fuentes:
    Desarrollo propio por Gesing Consultores

 

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s