¿QUÉ HAY DE NUEVO EN PROTECCIÓN DE DATOS?

A 7 meses vista de la entrada en vigor del Reglamento General de Protección de Datos (RGPD) (Mayo de 2018), son muchas las dudas que surgen en relación con el proceso de adaptación al mismo.
De hecho y, si bien ha salido a la luz el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal, cabe esperar el texto definitivo de la nueva LOPD que permita interpretar el alineamiento de la normativa española a las nuevas exigencias del Reglamento Europeo y sobre todo despejar la concreción en términos operativos de algunos aspectos que a día de hoy siguen sin estar del todo claros.

En este sentido, sirva este texto para al menos poner en negro sobre blanco aquellas cuestiones sobre los que sí existe un consenso (aunque no formalizado) entre los expertos en la materia, sobre todo gracias a las guías publicadas por la Agencia Española de Protección de Datos como el organismo que se ha erigido como referente interpretativo de la nueva normativa.
Pero, ¿cuáles son los principales cambios? A modo de resumen no exhaustivo de los cambios más relevantes, paso a enumerar los principales que se articulan bajo 3 PRINCIPIOS DE RESPONSABILIDAD Y TRATAMIENTO:

A. ACCOUNTABILITY: “OBLIGACIÓN DE RENDIR CUENTAS”: NO INCUMPLIR YA NO SERÁ SUFIENTE… HABRÁ QUE CUMPLIR Y PODER DEMOSTRAR QUE SE CUMPLE: O dicho de otra forma, la carga de la prueba del cumplimiento recae en el responsable de tratamiento, no en el titular que antes debía demostrar el incumplimiento de la organización que trataba sus datos.

B. PRIVACY BY DESIGN (Diseño desde el anonimato o la codificación) o el principio que responde a la pregunta ¿de verdad que necesitas personalizar toda la información que tratas o con un código de expediente o referencia sería suficiente? Y que se ha de plantear en todo diseño de tratamiento de datos desde su origen.

C. PRIVACY IMPACT ASSESSMENT – PIA: AUTODETERMINACIÓN DE MEDIDAS APROPIADAS EN FUNCIÓN DEL RIESGO: El criterio de medidas de seguridad ya no lo marca sólo el nivel de datos tratados, sino que cambia el centro de gravedad de la responsabilidad en la determinación de las medidas de seguridad y de su suficiencia en base a una “Evaluación de Impacto de Protección de Datos” (ó) como un análisis de los riesgos que un tratamiento puede entrañar para la protección de datos de los afectados y, como consecuencia de este análisis, la gestión de dichos riesgos mediante la adopción de las medidas de seguridad necesarias para eliminarlos o mitigarlos.

PRINCIPALES NOVEDADES:

• EL CRITERIO DE APLICACIÓN SE BASA EN LA RESIDENCIA DE LOS TITULARES DE DATOS: Aplicará a todo responsable de tratamiento que tenga o no tenga establecimiento en la UE traten datos de personas que residan en ella. Esto supone que es de aplicación a organizaciones con sede social fuer a de la UE, pero que vendan sus productos a ciudadanos europeos.

• INCUMPLIR SERÁ MÁS CARO: El importe de las multas cambia sustancialmente y se relaciona con el volumen de negocio de la organización (llegando en las infracciones graves a cuantías de hasta 20.000.000€ ó 4% del volumen de negocio total anual global del ejercicio financiero anterior).

• MÁS DATOS SENSIBLES: Se amplía la categoría de datos sensibles no sólo a los que se consideraban de nivel alto (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos de salud, vida sexual u orientaciones sexuales), sino a los que se añaden datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física. Así mismo, se definen las circunstancias en las que se dichos datos podrán ser objeto de tratamiento, por lo que habrá que justificar el mismo.

• CONSENTIMIENTO INEQUÍVOCO Y/O EXPLÍCITO: No se admiten formas de consentimiento tácito o por omisión (inacción), sino que se requiere una manifestación del interesado o mediante una clara acción afirmativa, que además en determinados tratamientos también habrá de ser explícito.

• DERECHO DE INFORMACIÓN POR “CAPAS” CONCISO, TRANSPARENTE, INTELIGIBLE Y ACCESIBLE: Es decir, en lenguaje claro y accesible para los interesados, y escrito (pudiendo ser por medios electrónicos) con la premisa de que es el responsable de tratamiento quien debe acreditar que el interesado ha sido informado (incluso cuando los datos no se hayan obtenido directamente del interesado). Esto supone adaptar no sólo el contenido de las cláusulas a las nuevas exigencias de información, sino también a las formas de obtener y archivar a fin de poder acreditar la obtención del consentimiento inequívoco.

• DERECHOS AMPLIADOS ARCO: A los antiguos derechos de acceso, rectificación, cancelación y oposición, se añaden derechos como el mencionado derechos de información y otros más específicos como el “derecho al olvido” (supresión de cualquier enlace, copia o réplica), el derecho a la limitación del tratamiento (ante la concurrencia de condiciones de inexactitud u oposición a determinados usos o tratamientos) y el derechos a la portabilidad de datos (capacidad de trasladar, copiar o transmitir datos personales fácilmente de un entorno informático a otro).

• RÉGIMEN AUTORIZADO DE TRANSFERENCIA INTERNACIONAL DE DATOS: Que ya no requiere de la autorización del Director de la AEPD, sino de concurrencia de circunstancias (país y encargados de tratamiento que permitan acreditar un adecuado nivel de protección).

• CONSERVACIÓN DE DATOS CON FINES DE ARCHIVO, INVESTIGACIÓN O ESTADÍSTICA: Se regulan las garantías con las que ha de contar el procedimiento de conservación de datos (tendentes a la seudonimización).

• AUTOEVALUACIÓN DE LA EFICACIA DE SEGURIDAD: Supone la programación sistemática de revisiones periódicas y la confirmación de eficacia mediante indicadores y/o registros que permitan confirmar la confidencialidad, integridad, disponibilidad y resilencia (acceso sólo al personal autorizado, precisión, exactitud y completitud de la información, la disposición de la información en los momentos adecuados y la robustez de los sistemas de información) frente a amenazas.

• OBLIGACIÓN DE NOTIFICACIÓN ANTE BRECHAS DE SEGURIDAD: Establece los plazos y registros acreditables que se exigen para la notificación ante violaciones de la seguridad de datos personales tanto a la AEPD, como a los interesados.

• REGISTRO DE ACTIVIDADES DE TRATAMIENTO: Supone la sustitución de la notificación de todos los ficheros ante la AEPD por un registro de actividades de tratamiento para aquellos responsables o encargados con más de 250 empleados o que realicen tratamientos que entrañen riesgos para los “derechos y libertades” de los titulares (ver Art.75 en el que se enumeran, como pej: datos snsibles, datos de personas vulnerables como niños o por magnitud de datos tratados, ….) o que incluyan categorías especiales de datos.

• DELEGADO DE PROTECCIÓN DE DATOS (DPO): Supone la designación de una función encargada de asesorar, supervisar y formar a los usuarios de tratamiento de datos en la cultura de la protección de datos en caso de organismos públicos, tratamiento habitual y sistemático de interesados a gran escala o tratamientos de categorías especiales de datos personales a gran escala.

• “HOMOLOGACIÓN” DEL ENCARGADO DE TRATAMIENTO: Supone poder acreditar la evaluación de los encargados de tratamiento en términos de garantías suficientes para aplicar medidas técnicas y organizativas apropiadas de seguridad, de manera que el tratamiento sea conforme a la normativa. Es decir, que el responsable tiene la responsabilidad de homologar la garantía de protección de datos a los que vayan a ser encargados de tratamiento por cuenta de dicho responsable, estableciendo un contenido mínimo en los contratos de encargo.

Por Mónica Pomar González (PFS-Advium)