Entra en vigor el Reglamento General de Protección de Datos (RGPD)Tras dos años de periodo transitorio, la nueva normativa de Protección de Datos entra en vigor este viernes en Europa. Llega con novedades. Las empresas tienen que tomárselo en serio si no quieren asumir sanciones por su incumplimiento que pueden llegar a 20 millones de euros o el 4% de la facturación anual global de la compañía, optándose por la mayor cuantía, o en casos de menos gravedad la multa podría ser de hasta 10 millones de euros o el 2% del volumen de negocio anual global.
El
nuevo Reglamento General de Protección de Datos (RGPD) supone un antes y
un después para la cultura social y empresarial europea en materia de
protección de datos, pues pasamos de un modelo meramente reactivo a uno
preventivo, y de responsabilidad activa. "Europa reafirma su soberanía
digital y se prepara para la era digital". Así dio el miércoles la
bienvenida al nuevo Reglamento la secretaria de Justicia de la Unión
Europea, Vera Jourová.
El RGPD es una norma directamente
aplicable, sin moratoria alguna, que no requiere de normas internas de
transposición ni tampoco, en la mayoría de los casos, de normas de
desarrollo o aplicación. Por ello, los responsables deben ante todo
asumir que la norma de referencia es el RGPD y no las normas nacionales,
como venía sucediendo hasta ahora con la Directiva 95/46. No obstante,
la ley que sustituirá a la actual Ley Orgánica de Protección de Datos
(LOPD) sí podrá incluir algunas precisiones o desarrollos en materias en
las que el RGPD lo permite, aunque aún se encuentra en trámite por el
Consejo de los Diputados.
El RGPD señala que las medidas dirigidas a
garantizar su cumplimiento deben tener en cuenta la naturaleza, el
ámbito, el contexto y los fines del tratamiento así como el riesgo para
los derechos y libertades de las personas. De acuerdo con este enfoque,
algunas de las medidas que el RGPD establece se aplicarán sólo cuando
exista un alto riesgo para los derechos y libertades, mientras que otras
deberán modularse en función del nivel y tipo de riesgo que los
tratamientos presenten. Sin embargo, el RGPD modifica algunos aspectos
del régimen actual y contiene nuevas obligaciones que deben ser
analizadas y aplicadas por cada organización teniendo en cuenta sus
propias circunstancias.
Consentimiento del tratamiento de los datos personales
Uno
de las exigencias a tener en cuenta del Reglamento es que el
consentimiento debe ser "inequívoco", es decir aquel que se ha prestado
mediante una manifestación del interesado o mediante una clara acción
afirmativa.
A diferencia del Reglamento de Desarrollo
de la LOPD, no se admiten formas de consentimiento tácito o por omisión,
ya que se basan en la inacción. Y además, según anuncia la Agencia de
Protección de Datos en sus guías, se contemplan situaciones en las que
el consentimiento, además de inequívoco, ha de ser explícito: en
tratamiento de datos sensibles, adopción de decisiones automatizadas y
transferencias internacionales.
Añade un ejemplo de consentimiento la
AEPD, que puede ser inequívoco y otorgarse de forma implícita cuando se
deduzca de una acción del interesado, es decir, cuando el interesado
continúa navegando por una web y acepta así el que se utilicen cookies
para monitorizar su navegación.
De este modo, los tratamientos iniciados
con anterioridad al inicio de la aplicación del RGPD sobre la base del
consentimiento seguirán siendo legítimos siempre que ese consentimiento
se hubiera prestado del modo en que prevé el propio RGPD, es decir,
mediante una manifestación o acción afirmativa, pero no se puede seguir
obteniendo consentimientos por omisión y revisar esos tratamientos para
que, a partir de mayo 2018, se hayan adecuado a las previsiones del
RGPD.
Datos de menores de edad
El
Reglamento de Protección de Datos se refiere varias veces en su
redacción a los tratamientos de los datos de los menores. En concreto,
en la regulación de los intereses legítimos del responsable como base
legal para el tratamiento, se señala que no será aplicable cuando
prevalezcan los derechos, libertades o intereses de los interesados que
requieran protección de datos personales, especialmente cuando esos
interesados sean niños, y al señalar que la información que se ofrece a
los interesados en relación con el tratamiento o con el ejercicio de
derechos deberá ser especialmente concisa, transparente, inteligible y
proporcionada con lenguaje claro y sencillo cuando los interesados sean
niños.
A su vez, se refleja en el contexto del
derecho al borrado de los datos personales, al establecer que las
actividades de formación y sensibilización dirigidas a los niños deberán
estar entre las prioridades de las autoridades de protección de datos, y
en el contexto de las explicaciones que ofrecen los Considerandos del
RGPD cuando se refieren a la realización de perfiles.
Por lo tanto, la mención más explícita a
los menores (niños, en la terminología del RGPD) está relacionada con la
obtención del consentimiento en el ámbito de la oferta directa de
servicios de la sociedad de la información. El RGPD prevé que en ese
entorno, el consentimiento solo será válido a partir de los 16 años,
debiendo contar con la autorización de los padres o tutores legales por
debajo de esa edad, y el RGPD permite a los estados miembros establecer
una edad inferior, siempre que no sea menor de 13 años.
Es de esperar que muchos estados miembros
hagan uso de esta posibilidad y adopten regulaciones propias. En el caso
de España, el Reglamento de Desarrollo de la LOPD fija la edad a partir
de la que el consentimiento de los menores es válido en los 14 años con
carácter general. Por ello, es razonable suponer que la norma que
reemplace a la LOPD contenga también una regulación específica en esta
materia.
Entre las obligaciones que encarna el
RGPD, éste requiere que los responsables hagan esfuerzos razonables,
teniendo en cuenta la tecnología disponible, para verificar que, para
los niños menores de la edad que se fije como límite, el consentimiento
se ha dado o se ha autorizado por los padres o tutores del menor (no es
una obligación en sí, sino tan sólo de medios o procedimientos
razonables para establecer la intervención real de padres o tutores).
Derechos de los usuarios
El
control de los datos estará íntegramente en manos del portador de los
mismos. Antes del RGPD debían facilitarse todos los datos de base del
afectado, pero no copias o documentos -excepto en el caso de la historia
clínica-.
Sin embargo, el nuevo Reglamento ahora
prevé el derecho a obtener una copia de los datos personales objeto del
tratamiento, y los responsables podrán atender a este derecho
facilitando el acceso remoto a un sistema seguro que ofrezca al
interesado un acceso directo a sus datos personales.
El derecho al olvido es el derecho que
tiene toda persona a modificar, cancelar o borrar sus datos personales
en posesión de terceros. El Tribunal de Justicia de la Unión Europea en
su sentencia de 13 de mayo de 2014 (caso Google Spain) estableció que el
tratamiento de datos que realizan en ese caso en un motor de búsqueda,
está sometido a las normas de la UE y que por lo tanto las personas
tienen derecho a solicitar bajo ciertas condiciones que los enlaces a
sus datos personales no aparezcan en los resultados de búsqueda.
Es decir, que este derecho se configura,
según la Agencia como una manifestación de los derechos de cancelación u
oposición en el entorno online.
A su vez, el derecho de limitación de
tratamiento supone que, a petición del interesado, no se aplicarán a sus
datos personales las operaciones de tratamiento que en cada caso
corresponderían. Así, se puede solicitar la limitación cuando el
interesado ha ejercido los derechos de rectificación u oposición y el
responsable está en proceso de determinar si procede atender a la
solicitud, cuando el tratamiento es ilícito, lo que determinaría el
borrado de los datos, pero el interesado se opone a ello. Y por último
cuando los datos ya no son necesarios para el tratamiento, que también
determinaría su borrado, pero el interesado solicita la limitación
porque los necesita para la formulación, el ejercicio o la defensa de
reclamaciones.
En el tiempo que dure la limitación, el
responsable sólo podrá tratar los datos afectados, más allá de su
conservación con el consentimiento del interesado, para la formulación,
el ejercicio o la defensa de reclamaciones, para proteger los derechos
de otra persona física o jurídica, o por razones de interés público
importante de la Unión o del Estado miembro correspondiente. No
obstante, hay que tener en cuenta que la limitación de tratamiento es un
derecho de los interesados que no debe confundirse con el bloqueo de
datos que existe en la legislación española.
Por último, el derecho de portabilidad es
una forma avanzada del derecho de acceso por el cual la copia que se
proporciona al interesado debe ofrecerse en un formato estructurado, de
uso común y lectura mecánica. Y así, este derecho sólo puede ejercerse
cuando el tratamiento se efectúe por medios automatizados, se base en el
consentimiento o en un contrato, o cuando el interesado lo solicita
respecto a los datos que haya proporcionado al responsable y que le
conciernan, incluidos los datos derivados de la propia actividad del
interesado.
Transferencias de datos internacionales
El
modelo de transferencias internacionales diseñado por el RGPD sigue los
mismos criterios que el establecido por la Directiva 95/46 y por las
legislaciones nacionales de trasposición.
Las decisiones de adecuación que la
Comisión ha adoptado con anterioridad a la aplicación del RGPD seguirán
siendo válidas, y por tanto, podrán seguir realizándose transferencias
basadas en ellas, en tanto la Comisión no las sustituya o derogue. Las
autorizaciones de transferencias que las autoridades nacionales de
protección de datos hayan otorgado sobre la base de garantías
contractuales seguirán siendo válidas en tanto las autoridades no las
revoquen. Así, las garantías sobre la protección que recibirán los datos
en destino las debe ofrecer el exportador, que podrá ser tanto un
responsable como un encargado de tratamiento.
El Reglamento exige que los datos solo
podrán ser comunicados fuera del Espacio Económico Europeo: A países,
territorios o sectores específicos (el RGPD incluye también
organizaciones internacionales) sobre los que la Comisión haya adoptado
una decisión reconociendo que ofrecen un nivel de protección adecuado,
bien cuando se hayan ofrecido garantías adecuadas sobre la protección
que los datos recibirán en su destino. También, según la AEPD, se
realizará comunicaciones cuando se aplique alguna de las excepciones que
permiten transferir los datos sin garantías de protección adecuada por
razones de necesidad vinculadas al propio interés del titular de los
datos o a intereses generales.
http://www.eleconomista.es/legislacion/noticias/9161340/05/18/Las-empresas-encaran-desde-hoy-multas-de-hasta-20-millones-de-euros.html?utm_source=acuerdos&utm_medium=lavanguardia&utm_campaign=20180525_Ley_ProteccionDatos
No hay comentarios:
Publicar un comentario