El Reglamento General de Protección de Datos de la UE ha entrado en vigor el 25/05/2016 mas no empezará a aplicarse hasta un par de años después, el 25/05/2015.
Entre las novedades resalta el derecho al olvido y el derecho a la portabilidad o bien el derecho a trasladar los datos a otro distribuidor de servicios. Además de esto, se solicita que el permiso, con carácter general, sea libre, informado, concreto y también indudable. Es esencial que su empresa comience a repasar sus ficheros de privacidad y otras modificaciones que introduce la regla.
Se ha publicado en el Diario Oficial de la UE DOUE de cuatro de mayo de dos mil dieciseis el Reglamento (Unión Europea) 2016/679 del Parlamento Europeo y del Consejo, de veintisiete de abril de dos mil dieciseis, relativo a la protección de las personas físicas en lo relativo al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE , y donde se establece las reglas relativas a la protección de las personas físicas en lo referente al tratamiento de los datos personales y las reglas relativas a la libre circulación de semejantes datos.
El Reglamento ha entrado en vigor el veinticinco de mayo de dos mil dieciseis mas no empezará a aplicarse hasta un par de años después, el veinticinco de mayo de dos mil dieciocho.
Esto quiere decir que solo va a ser aplicable desde el veinticinco de mayo de dos mil dieciocho. Hasta ese momento, tanto la Directiva 95/46 como las reglas nacionales que la transponen, entre ellas la de España (LOPD), prosiguen siendo de manera plena válidas y aplicables.
Sin embargo, es esencial que las compañías se vayan amoldando a la nueva normativa, examinen sus avisos de privacidad y que no aguarden hasta última hora.
¿Qué primordiales novedades recoge el nuevo Reglamento de Protección de Datos?
Entre otras muchas disposiciones, las nuevas reglas que nos hallamos en la Reforma incluyen:
a) El llamado “derecho al olvido”, que dejará la rectificación o bien la eliminación de datos personales y también información.
El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a pedir, y conseguir de los responsables, que los datos personales sean suprimidos cuando, entre otros muchos casos, estos ya no sean precisos para la finalidad con la que fueron recogidos, cuando se haya retirado el permiso o bien cuando estos se hayan recogido de forma ilegal. También, conforme la sentencia del Tribunal de Justicia de la UE de trece de mayo de dos mil catorce, que reconoció por vez primera el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede pedir que se bloqueen en las listas de resultados de los motores de búsqueda los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o bien intrascendentes y no sean de interés público, entre otros muchos motivos.
b) El tratamiento de datos personales va a deber contar con un deber de información y permiso reforzado, claro y afirmativo.
c) Se fijan limitaciones a los menores de trece años en el acceso a las redes sociales, aunque cada Estado va a poder acrecentarlo hasta los dieciseis, necesitando autorización de sus progenitores para el tratamiento de sus datos.
El Reglamento establece que la edad en la que los menores pueden prestar por sí solos su permiso para el tratamiento de sus datos personales en el campo de los servicios de la sociedad de la información (por poner un ejemplo, redes sociales) es de dieciseis años. No obstante, deja rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de trece años. En el caso de España, ese límite prosigue en catorce años. Bajo esa edad, es preciso el permiso de progenitores o bien tutores.
Atención. En el caso de las compañías que compendien datos personales, es esencial rememorar que el permiso debe ser verificable y que el aviso de privacidad ha de estar escrito en un lenguaje que los pequeños puedan comprender.
d) El reconocimiento de nuevos derechos como el de la “portabilidad” , que implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado va a poder pedir recobrar esos datos en un formato que le deje su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable va a deber transferir los datos de manera directa al nuevo responsable designado por el interesado.
y también) Informaciones con respecto a las brechas de seguridad y el derecho a ser informado en tales casos cuando se ponga en riesgo la privacidad.
f) Nuevos principios, entre otros muchos, la figura del encargado de protección de datos obligatoria para ciertas empresas, la rendición de cuentas “accountability” o bien la privacidad por diseño y por defecto.
g) Se impone la utilización de un lenguaje claro y entendible en las cláusulas de privacidad.
Atención. Las compañías deben repasar sus avisos de privacidad. El Reglamento prevé que se incluyan en la información que se da a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Por poner un ejemplo, va a haber que explicar la base legal para el tratamiento de los datos, los periodos de retención de exactamente los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos. Si piensan que hay un inconveniente con la manera en que están manejando sus datos. Es esencial rememorar que el Reglamento demanda de forma expresa que la información que se dé sea simple de comprender y presentarse en un lenguaje claro y sucinto.
h) Va a ser de aplicación a todas y cada una de las compañías que procesen datos de ciudadanos de la Unión Europea, independientemente de si su sede está fuera de la Unión Europea.
i) Cambios en el régimen sancionador con multas que pueden lograr hasta el cuatro por ciento de la facturación global de la compañía infractora.
Atención. Las infracciones más graves pueden ser sancionadas con multas de hasta 20.000.000 de euros y, si el infractor es una compañía, la multa puede lograr una cuantía equivalente al cuatro por ciento de su cifra de negocios.
¿Cambia la manera en la que hay que conseguir el permiso?
Una de las bases esenciales para tratar datos personales es el permiso. El Reglamento solicita que el permiso, con carácter general, sea libre, informado, concreto y también indudable. Para poder estimar que el permiso es “inequívoco”, el Reglamento requiere que haya una declaración de los interesados o bien una acción positiva que indique el pacto del interesado. El permiso no puede deducirse del silencio o bien de la inacción de los ciudadanos.
Las compañías deberían comprobar la manera en la que consiguen y registran el permiso. Prácticas que se encuadran en el llamado permiso implícito y que son admitidas bajo la presente normativa van a dejar de serlo cuando el Reglamento sea de aplicación.
Además de esto, el Reglamento prevé que el permiso deba ser “explícito” en ciertos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más riguroso, puesto que el permiso no va a poder comprenderse como concedido implícitamente a través de algún género de acción positiva. De este modo, va a ser preciso que la declaración o bien acción se refieran explícitamente al permiso y al tratamiento en cuestión.
Hay que tener en consideración que el permiso debe ser verificable y que quienes compendien datos personales han de ser capaces de probar que el perjudicado les dio su permiso. Por esta razón, es esencial repasar los sistemas de registro del permiso a fin de que resulte posible contrastarlo frente a una auditoría.
¿Tienen las compañías que comenzar a aplicar ya las medidas contempladas en el Reglamento?
Si bien el Reglamento está en vigor no va a ser aplicable hasta dos mil dieciocho. No obstante, puede ser útil para las compañías que tratan datos comenzar ya a valorar la implantación de ciertas medidas previstas, siempre y cuando esas medidas no sean contradictorias con las disposiciones de la LOPD, que prosigue siendo la regla por la que tienen que regirse los tratamientos de datos en España.
Por servirnos de un ejemplo, las compañías deben tener en consideración que desde mayo de dos mil dieciocho van a deber efectuar análisis de peligro de sus tratamientos y que puede ser útil para ellas iniciar desde este instante a identificar el género de tratamientos que efectúan, el grado de dificultad del análisis que van a deber realizar, etcétera En esta labor podrían usar las herramientas y recursos que poco a poco vayan desarrollando las Autoridades de protección de datos.
Del mismo modo, nada impide que las compañías empiecen a planear o bien a establecer el registro de tratamientos de datos o bien a implantar las evaluaciones de impacto o bien cualquiera otra de las medidas previstas.
De la misma manera, podrían empezar a diseñar y también implantar los procedimientos para avisar apropiadamente a las Autoridades de protección de datos o bien a los interesados las quiebras de seguridad que pudiesen generarse.
Normalmente, las compañías que tratan datos personales deberían empezar a preparar la aplicación de estas medidas, como de otras modificaciones prácticas derivadas del Reglamento. Por servirnos de un ejemplo, el Reglamento demanda que los responsables de tratamiento faciliten a los interesados el ejercicio de sus derechos. Si bien la interpretación de “facilitar” pueda cambiar en dependencia de los casos, incluye en todos algún género de actuación positiva por la parte de los responsables para hacer más alcanzables y fáciles las vías para el ejercicio de derechos.
El beneficio de una rápida aplicación es que dejará advertir contrariedades, insuficiencias o bien fallos en una etapa en que estas medidas no son obligatorias y, en consecuencia, su corrección o bien eficiencia no estarían sometidas a supervisión. Ello dejaría corregir fallos para el instante en que el Reglamento sea de aplicación.
Pueden ponerse en contacto con este despacho profesional para cualquier duda o bien aclaración que puedan tener a este respecto.
Para descargarse el texto de la publicación, pulse aquí.
CSF Consulting Abogados y Economistas,[:]