Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos ( RGPD) llega para sustituir el tan mencionado y poco efectivo LOPD, Ley Orgánica de Protección de Datos.

El periodo de adaptación de las empresas comenzó ya el 26 de mayo de 2016, y así lo han hecho grandes empresas como Facebook, Google, etc., sin embargo, ¿en qué punto se encuentran las pymes y autónomos ante este cambio legislativo? ¿Qué novedades tendremos?

¿No las conoces? Pues es hora de ponerse manos a la obra pues habrá que haberse actualizado a 25 de mayo de 2018, fecha tope para el proceso de adaptación de 2 años a la nueva legislación para todo el territorio de la Unión Europea.

El Reglamento al completo se puede consultar en la página de la Agencia Española de Protección de Datos, son 88 interesantísimas páginas, al menos para los que poco sabemos de leyes.

¿A quién se aplica?

Como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

Para lo cuál dichas empresas deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades.

Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.

Ventajas para los usuarios

En la actualidad, LOPD, para tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el Reglamento al ampliar a empresas no europeas pero con recopilación de datos de Europeos, pretende  dar una garantía adicional a los ciudadanos europeos, adaptando los criterios que determinan qué empresas deben cumplirlo en la realidad del mundo de internet.

De este modo, el reglamento se puede aplicar a empresas que podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea.

Herramientas de control

El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

Sobre el derecho al olvido ya hablamos en su momento cuando el mastodonte de GOOGLE daba su brazo a torcer por el derecho de solicitar que determinada información demostrable como falsa desapareciese de sus páginas de búsqueda.

En este caso, el derecho al olvido reconoce el derecho  que tienen los usuarios a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. De hecho, recoge aquella inicial sentencia de 2014 que doblegó a google, en la que supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

Por otro lado, la gran novedad: el derecho a la portabilidad implica que el usuario que haya proporcionado sus datos a una empresa que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.

Edad mínima para consentir el tratamiento de datos

Personalmente, me resultó llamativo este apartado, pues lo desconocía. Consideraba que el consentimiento era sólo para mayores de edad, 18 años.

Pues erróneamente, en España, la edad mínima para firmar el consentimiento de tratamiento de datos se encuentra en 14 años. Aunque según indica el reglamento, el texto legal debe estar construido en un vocabulario comprensible por niños.  El resto de menores de 14 años deben dar su consentimiento sus tutores.

Entiendo que este tema, es complicado para mayores, no sé hasta que punto un menor de 14 -15 años, entiende qué conlleva éste consentimiento así como sus derechos y cómo ejercerlos, pero la ley… es la ley.

Responsabilidad Activa

Uno de los motivos para el cambio de legislación, es precisamente este punto: La Responsabilidad Activa de las empresas que tratan los datos.

Este principio se basa en la prevención del daño, conlleva que las empresas se impliquen desde lo más profundo para prevenir que no se haga un mal uso o uso ilegal de los datos que recopilan de sus clientes.

En concreto, les fuerza a tomar las siguientes medidas:

  • Protección de datos desde el diseño
  • Protección de datos por defecto
  • Medidas de seguridad
  • Mantenimiento de un registro de tratamientos
  • Realización de evaluaciones de impacto sobre la protección de datos
  • Nombramiento de un delegado de protección de datos
  • Notificación de violaciones de la seguridad de los datos
  • Promoción de códigos de conducta y esquemas de certificación.

Cómo siempre, éstas medidas son muy bonitas y con gran potencial, pero falta explicar como y con qué recursos ejecutarlas. Desde la Agencia Española indican que trabajan en el desarrollo de herramientas que faciliten la identificación y valoración de riesgos y en recomendaciones sobre la aplicación de las medidas.

Obtención del consentimiento

El Reglamento prevé que el consentimiento haya de ser explícito en casos como puede ser para autorizar el tratamiento de datos sensibles.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento.

Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

Avisos legales

Algo que nos trae de cabeza a todos los desarrolladores de portales públicos y privados son los textos legales, que en el mejor de los casos los redacta el gabinete jurídico de la empresa, aún así, los textos legales deben ser comprensibles al usuario, y a veces… con tanta legislación es un trabajo arduo.

En este caso, se recomienda la verificación de la información de éste texto de Avisos Legales en el apartado “Protección de datos”.

Habrá que confirmar se explica la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos.

Si creen que hay un problema con la forma en que están manejando sus datos. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.

Reclamaciones por uso de Protección de Datos ilícito

Hay que interponerla ante la Agencia Española de Protección de Datos, que es la máxima autoridad nacional en la que darán resolución aunque tu problema sea con una empresa fuera de España en zona Euro.

Más información

Todas las dudas sobre Protección de Datos, como siempre son consultables en la web de Agencia Española de Protección de Datos.