NUEVO REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UE

9 may 2018
General - Jurídico

Hacemos llegar esta circular a nuestros clientes a fin de informar sobre los cambios que supondrá la entrada en vigor, el próximo 25 de mayo de 2.018, del nuevo Reglamento (UE) 2016/679 del Parlamento Europeo (RGPD – Reglamento General de Protección de Datos), finalizando el plazo de dos años concedido para la adecuación de esta nueva regulación. Con ello, en dicha fecha, quedarán derogados la Ley y el Reglamento español (Ley 15/1999 de Protección de Datos y Real Decreto 1720/2007 de desarrollo).

Todas las empresas deberán adaptarse al nuevo Reglamento, y no hacerlo puede implicar elevadas sanciones. Por este motivo, informamos de las principales novedades que conlleva esta nueva regulación:

El RGPD amplía su ámbito de aplicación a aquellas empresas no establecidas en la Unión Europea que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la UE o como consecuencia de una monitorización y seguimiento de su comportamiento.

El RGPD incluye la regulación de dos nuevos derechos: el derecho al olvido y el derecho a la portabilidad. Además, establece condiciones concretas sobre el procedimiento a seguir para atender a los interesados en el ejercicio de sus derechos:

  • El derecho al olvido es la consecuencia de la aplicación del derecho al borrado de los datos personales. Es una manifestación de los derechos de cancelación u oposición en el entorno online.
  • El derecho a la portabilidad de los datos es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica que permita su traslado a otro responsable.

El RGPD establece un tratamiento de datos basado en el consentimiento “inequívoco” del afectado. El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. No se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción.

El Reglamento prevé que el consentimiento, además de inequívoco ha de ser explícito en algunos casos, como para el tratamiento de datos sensibles, adopción de decisiones automatizadas y transferencias internacionales.

Cuando el tratamiento se base en un consentimiento otorgado con anterioridad a la aplicación del Reglamento (UE) 2016/679, no será necesario recabar nuevamente dicho consentimiento si la forma en que se otorgó se ajusta a las condiciones del nuevo reglamento.

 El RGPD otorga especial importancia a la transparencia e información a los interesados.  La información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de sus derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

Por otra parte, el principio de transparencia del RGPD, a diferencia de anteriores regulaciones, obliga a informar respecto a plazos de conservación de los datos y respecto a la base jurídica jurídica del tratamiento (es decir, respecto a las condiciones que determinan su licitud) en virtud del artículo 6 del Reglamento.

 El RGPD establece algunas novedades en las relaciones responsable-encargado:

Los responsables y encargados tienen la obligación de mantener un registro de actividades de tratamiento en el que contenga la información que establece el RGPD (con un contenido mínimo equivalente al actual Documento de Seguridad). Están exentas las organizaciones que empleen a menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos personales o datos relativos a condenas e infracciones penales.

Las relaciones entre el responsable y el encargado deben formalizarse en un contrato o en un acto jurídico que vincule al encargado respecto al responsable. El RGPD regula el contenido mínimo. Dicho contrato deberá incluir una descripción detallada de los servicios prestados, así como la naturaleza o finalidad del tratamiento, las medidas aplicadas, la duración, el tipo de datos personales y categorías de interesados; también deberá incluir las obligaciones y derechos del responsable, citar las posibles transferencias internacionales de datos y las subcontrataciones previstas. Por último, deberá indicar que sucede cuando se finaliza el tratamiento.

Con la entrada en vigor del RGPD, desaparece la actual obligación de inscripción de ficheros ante la Agencia de Protección de Datos (AEPD), reemplazada por la citada obligación de llevar un “registro de actividades de tratamiento”.

El RGPD establece un catálogo de medidas de responsabilidad activa:

  • protección de datos desde el diseño y por defecto
  • medidas de seguridad
  • realización de evaluaciones de impactos sobre la protección de datos
  • notificación de violaciones de la seguridad de los datos
  • promoción de códigos de conducta y esquemas de certificación
  • nombramiento de un delegado de protección de datos
  • mantenimiento del registro de actividades de tratamiento.

Los responsables de tratamiento deberán realizar una evaluación de impacto sobre la Protección de Datos, con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.

El RGPD establece la nueva figura del delegado de protección de datos (DPD), que será obligatorio en:

  • Autoridades y organismos públicos
  • Responsables o encargados que tengan entre sus actividades principales operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.

El DPD debe ser nombrado atendiendo a sus cualidades profesionales, y en particular, a sus conocimientos especializados del Derecho y la práctica de la protección de datos, aunque no debe tener una titulación específica.

El nuevo RGPD prevé sanciones al incumplimiento que pueden alcanzar hasta los 20 millones de euros o hasta el 4% del volumen de negocio del infractor.

Actualmente, se encuentra en trámite parlamentario, el proyecto de Ley Orgánica de Protección de Datos de Carácter Personal que adaptará la legislación española al nuevo RGPD, y que sustituirá a la actual Ley Orgánica.