Reglamento Europeo de protección de datos: principales cambios y novedades

El 25 de mayo entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, “el reglamento”). Se trata de una norma que tiene como objetivo crear un único marco normativo para todos los países de la Unión Europea. Como reglamento comunitario, resulta de aplicación directa en todos los estados miembros sin necesidad de transposición, si bien, dada la magnitud de las modificaciones que van a resultar necesarias, la propia norma establece que será de obligado cumplimiento únicamente a partir del 25 de mayo de 2018 (a pesar de su entrada en vigor el día 25 de mayo de 2016).

España  deberá adoptar en estos dos años las medidas necesarias para adaptar su legislación nacional a la nueva normativa, con el fin de evitar problemas de convivencia entre la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (en adelante, “LOPD”) y su normativa de desarrollo, y el nuevo reglamento.

El ámbito de aplicación de este reglamento es muy amplio, ya que se aplica, por un lado, al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la UE, independientemente de que el tratamiento tenga lugar en la Unión o no y, por otro, al tratamiento de datos personales de interesados que residan en la Unión, por parte de un responsable o encargado no establecido en ella, cuando las actividades de dicho tratamiento estén relacionadas con la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o bien el control de su comportamiento, en la medida en que éste tenga lugar en la Unión.

Consentimiento informado e inequívoco

los comerciantes que celebren contratos de compraventa o de prestación de servicios online en la Unión Europea están obligados por aplicación directa de la legislación europea a publicar en sus sitios web un enlace electrónico a la plataforma que sea visible y de fácil accesoLa principal novedad a este respecto que introduce el reglamento se basa en lo relativo al consentimiento prestado por los interesados. Señala que el consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como por ejemplo una declaración por escrito, inclusive por medios electrónicos o una declaración verbal. Sería válido incluir una casilla para marcar en un sitio web en Internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. El silencio, las casillas ya marcadas o la inacción no constituyen consentimiento. Por lo tanto, ya no será válido el consentimiento tácito recogido en nuestra normativa.

El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, ésta debe ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

Será el responsable del tratamiento quien deba probar que el titular consintió el tratamiento de sus datos. Por tanto, en virtud del principio de responsabilidad, el responsable del tratamiento aplicará las medidas adecuadas para poder demostrar que ese consentimiento se prestó conforme requiere la norma.

Se establecen asimismo condiciones específicas para obtener el consentimiento de los menores: no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será inferior a 13 años. Aquí el límite mínimo de edad difiere del límite establecido en la normativa española, que lo fija en 14 años.

Derecho de transparencia, acceso y supresión

Con el reglamento se añaden a los conocidos en España como derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) nuevos derechos que podrá ejercer el interesado. El nuevo reglamento se refiere ahora a los siguientes derechos:

  • El derecho de transparencia y el derecho de información, los cuales se exponen más adelante.
  • El derecho de acceso, ya existente en la normativa española, y según el cual el interesado tendrá derecho a obtener del responsable de tratamiento confirmación de si se están tratando o no datos personales que le conciernen, junto con información referente a los fines del tratamiento, las categorías de datos personales de que se trate, los destinatarios o categorías de destinatarios a los que se comunicaron los datos.
  • Derecho de rectificación, ya existente en la normativa española, y según el cual el interesado tendrá derecho a obtener sin dilación indebida del responsable la rectificación de los datos personales inexactos que le conciernan.
  • Derecho de supresión o derecho al olvido, el cual se expone más adelante.
  • Derecho a la limitación del tratamiento, según el cual el interesado tendrá derecho a obtener del responsable la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones que recoge el reglamento.
  • Derecho de portabilidad de datos, según el cual el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable sin que lo impida el responsable al que se los hubiera facilitado, siempre que se den las circunstancias recogidas en el Reglamento.
  • Derecho de oposición y elaboración de perfiles, según el cual el interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento.

Derecho al olvidoMerece la pena centrarse, en un primer lugar, en los derechos de transparencia e información, que refuerzan la información que debe facilitarse a los titulares de los datos, tanto si los datos se recaban directamente del interesado, como si se obtienen de otra fuente. En ambos supuestos deberá facilitarse al titular del dato, además de la información obligatoria ya establecida en la normativa española actual, información, entre otros aspectos, sobre la base jurídica del tratamiento, la intención de realizar transferencias internacionales, el plazo de conservación de los datos o el derecho a la portabilidad de los datos.

En lo que respecta al interesado cuyos datos se han obtenido de otra fuente, la información anteriormente indicada deberá facilitarse en el plazo de máximo de un mes (en lugar de los tres meses indicados en la LOPD), salvo que la información ya fuese anteriormente conocida por el titular del dato o cuando facilitar la información al interesado resulte imposible o exija un esfuerzo desproporcionado.

En un segundo lugar, cabe destacar la introducción del derecho de supresión, más conocido como derecho al olvido. Se trata del derecho de los sujetos titulares de los datos a obtener, sin dilación indebida, la supresión, por parte del responsable del tratamiento, de los datos personales que le conciernan en determinados supuestos, entre otros, cuando los datos no sean necesarios para las finalidades para las que fueron recogidos, cuando el interesado haya retirado su consentimiento, cuando los datos personales hayan sido tratados ilícitamente o cuando los datos personales deban suprimirse para cumplir con una obligación legal establecida en la legislación aplicable al responsable del tratamiento.

Loviit

Límites del derecho al olvido

El responsable que esté obligado a suprimir datos deberá adoptar medidas razonables para llevarlo a cabo (teniendo en cuenta la tecnología disponible y el coste de su aplicación) e informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales o cualquier copia o réplica de los mismos. No obstante lo anterior, se establecen una serie de excepciones al ejercicio del derecho al olvido, cuando su mantenimiento sea necesario:

  • Para ejercer el derecho a la libertad de expresión e información.
  • Para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por la legislación aplicable al responsable del tratamiento o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
  • Por razones de interés público en el ámbito de la salud pública.
  • Con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el ejercicio del derecho de supresión pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento.
  • Para la formulación, el ejercicio o la defensa de reclamaciones.

Responsabilidad proactiva en protección de datos

El responsable o el encargado del tratamiento deberá aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el reglamento. Se trata de la llamada responsabilidad proactiva o accountability, esto es, la adopción de políticas de protección de datos que no sólo han de existir, sino que han de estar adaptadas a las circunstancias de la organización, implementadas y funcionar en la práctica. Se establecen, pues, obligaciones de resultado para las entidades.

Desarrollando este principio general, el reglamento establece la obligación del responsable de tratamiento de tener en cuenta la protección de datos desde el momento del diseño de sus procedimientos, productos y servicios (privacy by design), así como la obligación de que, por defecto, sólo sean objeto de tratamiento los datos personales mínimos que sean necesarios para alcanzar el fin legítimo perseguido (privacy by default). Esto implica, por ejemplo, que en materia de redes sociales, los perfiles de privacidad de los usuarios estén por defecto cerrados a otros usuarios, debiendo ser el propio usuario quien los abra.

Por otro lado, el representante o encargado del tratamiento deberá tener un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, que contenga una serie de información que fija el propio reglamento, como por ejemplo, la identidad del responsable, la descripción de las categorías de interesados y de las categorías de datos personales, etc.

Esta obligación no se aplicará a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos personales o datos personales relativos a condenas e infracciones penales.

En caso de violación de la seguridad de los datos personales, el responsable del tratamiento deberá proceder a notificarla a la autoridad de control competente del estado miembro, sin dilación indebida y, de ser posible, a más tardar, 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá indicar los motivos de la dilación. Asimismo, dicha violación deberá igualmente comunicarse al interesado, a quién se deberá describir en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de sus datos personales.

Se establece la obligación para el responsable del tratamiento de llevar a cabo evaluaciones previas de impacto para aquellos tratamientos que, por su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas físicas. De hecho, el reglamento indica expresamente algunos casos en los que dicha evaluación será obligatoria, como por ejemplo en el tratamiento a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales. Cuando del resultado de la evaluación se deduzca un alto riesgo, deberá consultarse con la autoridad de control antes de llevar a cabo el tratamiento.

Cuándo debe haber un delegado de protección de datos

El reglamento introduce la figura del delegado de protección de datos, que será designado por el responsable y el encargado del tratamiento. Dicha figura será obligatoria cuando:

  • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  • Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; o
  • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.

El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados en derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones que determina el reglamento. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

En cuanto a las funciones del delegado, destacan el asesoramiento general dentro de la compañía en todo lo relativo a la protección de datos personales, la supervisión del cumplimiento de la legislación y las políticas de privacidad, la elaboración de informes de evaluación de impacto de ciertos tratamientos de datos personales y la cooperación con las autoridades de control nacionales.

Transferencias internacionales de datos

Con el fin de garantizar un alto nivel de protección a los interesados, el reglamento revisa el régimen de transferencias internacionales de datos.

internacionalizacionComo principio general, el reglamento señala que sólo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional, si el responsable y el encargado del tratamiento cumplen con las condiciones establecidas en el reglamento, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.

El reglamento regula, por un lado, las transferencias basadas en una decisión de adecuación, es decir, cuando la Comisión decide que el tercer país, territorio o uno o varios sectores de ese tercer país o la organización internacional a donde van a transferirse unos datos, garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica. Por otro lado, se regulan las transferencias mediante garantías adecuadas en las que el responsable o encargado del tratamiento sólo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

De igual manera, el reglamento señala las situaciones en las cuales se realizarán las transferencias, aunque no exista una decisión de adecuación o las  garantías adecuadas como, por ejemplo: cuando el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias; cuando la transferencia sea necesaria por razones importantes de interés público o para la formulación, el ejercicio o la defensa de reclamaciones, etc.

Sanciones de hasta 20 millones de euros

El Reglamento establece un nuevo régimen sancionador. Las multas económicas se incrementan respecto de los rangos establecidos en nuestra normativa nacional y pueden alcanzar hasta 10 millones de euros o hasta 2% del volumen de negocios mundial; o bien hasta 20 millones de euros o hasta 4% del volumen de negocios mundial, según su gravedad.

De la misma forma, se reconoce la posibilidad de que los interesados deleguen en asociaciones y otras entidades sin ánimo de lucro la posibilidad de interponer reclamaciones en su nombre en materia de protección de datos.

Cómo va a convivir el reglamento con la LOPD

Este reglamento es una norma esperada que, tras intensos debates y después de cuatro años de discusión, viene a sustituir a la Directiva 95/46/CE y a crear un marco uniforme en la Unión Europea sobre esta materia. Además, este reglamento suple la necesidad de adoptar un texto adaptado al nuevo entorno de internet y a las nuevas tecnologías.

El reglamento introduce importantes modificaciones y novedades normativas que aportan un mayor control del proceso del tratamiento de los datos personales, otorgando además más derechos a los interesados sobre tales datos, lo que supondrá la mejora de la protección del derecho a la protección de los datos, reconocido en el artículo 18 de nuestra Constitución.

Sin embargo, la entrada en vigor de este nuevo reglamento plantea la duda de cómo va a convivir el mismo con la LOPD y su normativa de desarrollo en España. Así pues, atendiendo a lo dispuesto en el texto del reglamento, parece que la LOPD podrá seguir siendo aplicable en todo lo que esté fuera del Derecho de la Unión Europea, pues el reglamento hace numerosas remisiones a la legislación nacional de los Estados miembros.

No cabe duda de que nuestro país, al igual que el resto de Estados miembros, tendrá que adaptar su legislación nacional a la nueva normativa, lo que supone una gran carga de trabajo y un enorme esfuerzo, sobre todo por parte de las empresas y los profesionales de la protección de datos. A modo de resumen, los esfuerzos tendrán que centrarse en lo siguiente:

  • La modificación de los documentos contractuales y de información previa, en los que se incluyan los derechos del interesado y las obligaciones del responsable en relación con el tratamiento de los datos.
  • La modificación del documento de seguridad, incluyendo las nuevas obligaciones del responsable y del encargado del tratamiento.
  • El nombramiento de un Delegado de Protección de Datos, en los casos en los que corresponda.
  • La adopción de mecanismos tecnológicos adecuados para garantizar el derecho al olvido.

Por Lina Díaz Hidalgo y Alejandra Meseguer (Linares Abogados)




Abogada con más de diez años de experiencia en entidades financieras y del sector seguros. Especializada en asesoría jurídica y cumplimiento normativo en grandes empresas de ámbito nacional e internacional. Forma parte del equipo de Linares Abogados.
Sin comentarios

Responder