Como sabemos, ya ha entrado en vigor el
Reglamento europeo de protección de datos, aunque será aplicable
obligatoriamente a los dos años de su entrada en vigor, es decir, el 25 de mayo de 2018.
En España se está tramitando un Proyecto de nueva
Ley Orgánica de Protección de Datos, que ajusta nuestro ordenamiento a este
nuevo Reglamento, por lo que habrá que estar atento los próximos meses de la
aprobación de la nueva ley y lo que implica.
Este Reglamento se aplica
todas aquellas entidades que
traten datos de carácter personal que se encuentren dentro de la Unión Europea.
Este Reglamento supone un
mayor compromiso de las empresas y organizaciones con la Protección de Datos.
Las empresas y entidades deben adoptar medidas que garanticen de
manera suficiente que están en condiciones de cumplir con las reglas,
derechos y garantías que el Reglamento establece.
El RGPD entiende que actuar únicamente cuando ya ha tenido lugar la
infracción no es suficiente como estrategia, debido a que esa infracción
puede ocasionar daños a los interesados que puede ser muy
complicado compensar o reparar.
Estos son los principios, obligaciones y derechos
que recoge el RGPD, a falta de la adaptación de la legislación vigente
española.
PRINCIPIOS
§ PRINCIPIO DE RESPONSABILIDAD (ACCOUNTABILITY). Habrá
que implementar mecanismos que permitan acreditar que se han adoptado todas las
medidas necesarias para tratar los datos personales como exige la norma. Es una
responsabilidad proactiva. Las organizaciones deben ser capaces de demostrar
que cumplen dichas exigencias, lo cual obligará a desarrollas políticas,
procedimientos, controles, etc.
§ PRINCIPIOS DE PROTECCIÓN DE DATOS POR DEFECTO Y DESDE EL DISEÑO. Se
deberán adoptar medidas que garanticen el cumplimiento de la norma desde el
mismo momento en que se diseñe una empresa, producto, servicio o actividad que
implique tratamiento de dato, como regla y desde el origen.
PRINCIPIO DE TRANSPARENCIA. Los avisos
legales y políticas de privacidad deberán ser más simples e inteligibles,
facilitando su comprensión, además de más completos. Incluso se prevé que, con
el fin de informar sobre el tratamiento de los datos, puedan utilizarse iconos
normalizados.
OBLIGACIONES PARA EMPRESAS Y ADMINISTRACIONES
§ En ocasiones,
será obligatorio designar un Delegado de Protección de Datos (DPO), interno o
externo, que asista a las organizaciones en el proceso de cumplimiento
normativo. No es necesario que el DPO sea un jurista, pero sí que tenga
conocimientos sobre todo lo relativo a la LOPD.
§ En ciertos
casos, se deberán realizar EVALUACIONES
DE IMPACTO SOBRE LA PRIVACIDAD, que determinen los riesgos específicos
que supone tratar ciertos datos de carácter personal y prevean medidas para
mitigar o eliminar dichos riesgos.
§ Las
empresas multinacionales tendrán como interlocutora a una sola autoridad de
control nacional: la del establecimiento principal de la entidad. Es lo que se
conoce como VENTANILLA ÚNICA.
§ Las BRECHAS DE SEGURIDAD deberán ser
comunicadas a las autoridades de control y, en casos graves, a los afectados,
tan pronto sean conocidas, estableciéndose el plazo máximo de 72 horas.
§ DATOS SENSIBLES: Se amplían los datos especialmente
protegidos, incluyendo ahora los datos genéticos y biométricos. Se incluyen
también en esta categoría las infracciones y condenas penales, aunque no las
administrativas.
§ La SELECCIÓN de un encargado del
tratamiento se endurece, puesto que habrá que elegir uno que aporte suficientes
garantías de cumplimiento normativo.
§ GARANTÍAS ADICIONALES PARA LAS TRANSFERENCIAS INTERNACIONALES DE DATOS: Establecimiento
de garantías más estrictas y mecanismos de seguimiento en relación con las
transferencias internacionales de datos fuera de la Unión Europea.
§ SELLOS Y CERTIFICACIONES: Se prevé que
se creen sellos y certificaciones de cumplimiento que permiten acreditar la
Accountability por parte de las organizaciones.
§ DESAPARECE LA OBLIGACIÓN DE INSCRIBIR LOS FICHEROS, que se
sustituye por un control interno y, en algunos casos, un inventario de las
operaciones de tratamiento de datos que se realicen, que se intuye de un
contenido similar al que actualmente tiene el formulario NOTA.
§ SANCIONES: Las cuantías de las sanciones por
incumplimiento de la norma crecen, pudiendo llegar a los 20 millones de euros o
el 4% de la facturación global anual (no se excluye de las multas a las
Administraciones Públicas, aunque los Estados Miembros pueden acordarlo así).
DERECHOS PARA
LOS CIUDADANOS
§ TRANSPARENCIA e INFORMACIÓN. Las
organizaciones, al tratar datos personales, deben proporcionar mayor
información y de un modo más inteligible, completo y sencillo, lo que
favorecerá la toma de decisiones por el ciudadano. Se tiene una especial
consideración con los menores de edad en este punto.
§ CONSENTIMIENTO. El consentimiento para poder tratar datos
de carácter personal ha de ser inequívoco, libre y revocable y deberá darse
mediante un acto afirmativo claro. No se admite consentimiento tácito.
§ DERECHO AL OLVIDO. Se podrá revocar el consentimiento prestado
para el tratamiento de datos personales en cualquier momento, pudiendo exigir
la supresión y eliminación de los datos en redes sociales o buscadores de
internet.
§ DERECHO A LA LIMITACIÓN DEL TRATAMIENTO. Permite al
ciudadano solicitar el bloqueo temporal del tratamiento de sus datos cuando
existan controversias sobre su licitud.
§ PORTABILIDAD DE LOS DATOS. Se permitirá
al ciudadano solicitar la transferencia de los datos personales de un proveedor
de servicios en Internet a otro.
§ DENUNCIAS. Se podrán presentar denuncias a través de
asociaciones de usuarios.
§ INDEMNIZACIONES. Se reconoce la posibilidad de exigir
indemnización de daños
y perjuicios derivados del tratamiento ilícito de los
datos personales.
§ El
responsable del fichero podrá establecer un CANON a la contestación de los ejercicios del derecho de
acceso, teniendo en cuentas los costes administrativos que ello le suponga.