noticia

REGLAMENTO EUROPEO DE PROTECCION DE DATOS. La opinion de una experta. Novedades, dudas, destinatarios.

Noticia
Autor
jpedroso

REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS
La opinión de una experta. Novedades, dudas, destinatarios.
 

 

Portal del Emprendedor de Fraternidad-Muprespa
Jesús Pedroso. Mayo 2018


La protección de datos personales ha ocupado grandes espacios en la esfera de lo social durante las últimas décadas, en las que el poder legislativo ha intentado representar un papel acorde a las necesidades de los ciudadanos en un mundo cambiante, donde datos e información ahora viajan a una velocidad y por una cantidad de canales que hasta hace poco tiempo resultaban inimaginables. Atrás quedan otras épocas, en donde los datos, referencias y antecedentes personales de toda naturaleza se encontraban al alcance de cualquiera, dada su nula protección y su liviana legislación. Historiales médicos o informaciones financieras sin destruir se tiraban a la basura como quien deposita los restos orgánicos habituales.

pd2

Sin embargo, en la actualidad, una profusa legislación existente no ha evitado recientes episodios como los de Facebook, a nivel mundial, y LexNET,  en el que se ha visto implicado el Ministerio de Justicia de España. El ya denominado facebookgate ha afectado a casi 90 millones de usuarios de la red social, que han visto como sus datos se recolectaban por una tercera empresa sin su consentimiento. En cuanto al incidente de la plataforma LexNET, cuya brecha de seguridad ha puesto en entredicho al Ministerio de Justicia, ha obligado a la Agencia Española de Protección de Datos a emitir una resolución confirmando que el organismo ha cometido una infracción grave tipificada por la LOPD.

El derecho fundamental a la privacidad o la intimidad personal es uno de los derechos más importantes en cualquier democracia y así lo recoge la Constitución española en su artículo 18,1; texto programático que, adelantándose a lo que estaba por venir, establece que «La ley limitará el uso de la informática para garantizar el honor y la intimidad personal» en el artículo 18,4, cuyo desarrollo legislativo dio lugar a la LORTAD (Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal) en 1992, ya derogada y sustituida por la actual LOPD de 1999 (Ley Orgánica de Protección de Datos de carácter personal).

El próximo 25 de mayo será aplicable, al ámbito que nos ocupa, el Reglamento Europeo de Protección de Datos (Reglamento UE 2016/679), que supondrá una vuelta de tuerca al amparo del derecho a la privacidad de los ciudadanos, fortaleciendo su posición frente a las empresas con este cambio de paradigma, gracias a una evolución legislativa cada vez más garantista. Sin embargo, acabamos de leer una noticia en la que se estima que el 60% de las empresas no cumplirá el plazo para implementar esta reglamentación europea. 

 

Hablamos de esta normativa con Teresa Martínez Cabrera, abogada experta en protección de datos en la firma Deloitte:

  • En España ya tenemos la Ley Orgánica de Protección de Datos de Carácter Personal de 1999 ¿Qué sucederá con esta norma nacional a partir de la aplicación del Reglamento de la UE sobre esta materia?

    El Reglamento General de Protección de Datos (RGPD), como bien apuntas, es una normativa a nivel europeo que, por su naturaleza de Reglamento, es de aplicación directa a todos los Estados Miembros, es decir, no necesita transposición.

    Esta situación implica que en principio la normativa actual, conocida como LOPD, queda derogada en todo aquello que no coincida con el Reglamento, de todas formas, en la actualidad se encuentra en tramitación parlamentaria, es decir, pendiente de aprobación, el proyecto de la comúnmente conocida como nueva LOPD, cuyo texto va alineado con el RGPD y que derogaría la norma del año 1999 y su reglamento de desarrollo (RLOPD).
  • ¿Quiénes son los principales destinatarios del Reglamento Europeo?

    En este punto hay ciertas novedades, ya que el Reglamento no sólo se aplica a responsables o encargados del tratamiento ubicados dentro de la Unión Europea, sino también a todas aquellas organizaciones que traten datos de carácter personal de interesados que residan en la Unión Europea; es decir, una empresa ubicada, por ejemplo, en Estados Unidos, que trate datos de carácter personal de ciudadanos europeos deberá cumplir lo establecido por el RGPD, en concreto cuando el tratamiento de los datos consista en la oferta de bienes o servicios a dichos interesados, o el control de su comportamiento.
  • Leemos en los medios que las grandes empresas ya se han adaptado a esta nueva regulación ¿Pero qué sabemos de las PYMES y autónomos? No parece que exista la misma implicación.
     pd1

    Esta normativa afecta, como he comentado, a aquellas organizaciones que traten datos de carácter personal de ciudadanos europeos; es decir, no sólo las “grandes empresas”, también afecta a PYMES y autónomos.Cierto es que en prensa solemos leer noticias sobre los avances de las grandes empresas y todos estamos comenzando a recibir correos/sms/cartas de nuestros bancos/telefónicas… que nos muestran que estas organizaciones, en principio, ya están adaptadas.

    Los autónomos y PYMES, dependiendo de su negocio y siempre que traten datos de carácter personal, también tienen que adaptarse a esta normativa.

    Hay que tener en cuenta que la norma lleva en vigor desde finales de abril del 2016 y que ha habido dos años para llegar adaptados al 25 de mayo de este año, momento de su plena aplicación, por lo que todas las organizaciones, independientemente de su tamaño/estructura, deben “ponerse las pilas”.

 

  • ¿La adaptación supondrá un coste económico para las empresas?

    Cierto es que este Reglamento aumenta las obligaciones de las entidades como, por ejemplo, una mayor labor documental y la obligación, en algunos casos, de designar la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés), llevar un registro de tratamientos o realizar una evaluación de impacto para aquellos tratamientos de alto riesgo.

    Estas nuevas obligaciones, entre otras, efectivamente exigen un esfuerzo para las empresas y dependiendo de los tratamientos de datos personales que hagan puede suponer la necesidad de realizar una inversión (en sistemas, en asesoramiento…). De todas formas, la Agencia Española de Protección de Datos ha creado la herramienta gratuita FACILITA ( https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/herramientas_ayuda/index-ides-idphp.php ), para que aquellos autónomos y PYMES que no realicen tratamientos de alto riesgo, en la que puedan apoyarse a la hora de adaptarse a esta nueva normativa.
     
  • A tu juicio ¿Cuál es la novedad más importante respecto a la normativa vigente?

    Esta normativa, como he ido avanzando, introduce varias novedades, destacando la forma de recabar el consentimiento y la ampliación de la información obligatoria que hay que dar al interesado.

    En cuanto al deber de información, el RGPD establece que se incluya cierta información en las cláusulas que hasta el momento no era obligatoria, como incluir la base legal o los periodos de conservación. En este sentido, el RGPD también exige que la información que se proporcione sea clara y fácil de entender, instando así a las organizaciones a revisar el clausulado actual utilizado y modificarlo para que no sólo se incluya toda la información necesaria, sino que también se eviten las clausulas farragosas a las que estamos acostumbrados.

    El consentimiento, con la legislación actual, permitía el uso de fórmulas tácitas (si el interesado no dice lo contrario se entiende por dado) o con casillas premarcadas. El RGPD exige que el consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado para aceptar el tratamiento de sus datos de carácter personal para el que se requiere dicho consentimiento; es decir, en principio se necesita un sí. Lo que por parte de las entidades supondrá revisar aquellos tratamientos que requieran el consentimiento y recabar el mismo de la forma adecuada para poder continuar realizando los mismos.
     
  • ¿Crees que aumentará el nivel de seguridad y protección de los datos personales?

    Uno de los principales objetivos de esta normativa es armonizar las diferentes normativas europeas asegurando así un marco en el que todos los ciudadanos de la Unión Europea tengan un mismo nivel de protección de sus datos y, por otro lado, el RGPD aumenta y precisa las obligaciones de las organizaciones con el objetivo de asegurar dicha protección, por lo que en principio debemos entender que sí se aumentará el nivel de seguridad y protección de datos.
     
  • ¿Qué datos personales son los más protegidos? O cuales son los más sensibles y las posibles sanciones por incumplimiento.

    Los datos sensibles o, utilizando el lenguaje del RGPD, “categorías especiales de datos” son, el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física y, como nueva introducción de este Reglamento, el tratamiento de datos genéticos y los datos biométricos.

    En principio, el tratamiento de estos datos está prohibido a menos que se den algunas excepciones; por ejemplo, la obtención del consentimiento o que el tratamiento sea necesario para proteger al interesado o que sean datos necesarios para elcumplimiento de obligaciones del responsable o interesado en materia de Derecho laboral.

    En cuanto a las sanciones por incumplimiento, no solo en lo que se refiere a el tratamiento de estos datos, sino de los preceptos establecidos por el Reglamento (art. 83), también se ven modificadas, pasando la sanción de las infracciones menos graves a ser, como máximo, de 10 millones de euros o el 2% del volumen del negocio total, la que sea mayor, y la más graves con un máximo de 20 millones de euros o el 4% del volumen de negocio del año anterior con la misma premisa –la mayor de ambas-.

 

  • Cuéntanos lo que significa la figura del Delegado de Protección de Datos, sus funciones y si es necesario para una PYME.

    El delegado de Protección de Datos es una figura que surge con esta nueva normativa y entre sus funciones se encuentran principalmente el asegurar el cumplimiento de la normativa por parte de la entidad, controlar/supervisar todo lo referido a este ámbito, dar apoyo y asesorar al Responsable o Encargado y actuar como punto de contacto con la Agencia Española de Protección de Datos.

    Esta figura, en principio, será obligatoria en lo tasado por el Reglamento y no depende de la estructura o tamaño de la organización, sino de los tratamientos de datos que se realice. El RGPD establece que el DPO será obligatorio cuando el tratamiento lo lleve a cabo una autoridad u organismo público, cuando haya un tratamiento que requiera una observación habitual y sistemática de datos a gran escala o cuando se traten, también a gran escala, datos de categorías especiales o relativos a infracciones penales.
     pd3


 

  • ¿Y el derecho a la portabilidad?

    El RGPD, introduce dos nuevos derechos en favor de los interesados, que se suman a los ya existentes; por un lado, el derecho al olvido y por otro, el derecho a la portabilidad.

    El derecho a la portabilidad implica la posibilidad de que el interesado solicite al responsable, al que haya proporcionado sus datos, recuperar los mismos en un formato que le permita su traslado a otro responsable o incluso, si es técnicamente posible, solicitarle que transfiera los datos directamente al nuevo responsable. Este derecho se podrá ejercer cuando el tratamiento se realice por medios automatizados.
  •   Algún consejo para PYMES y autónomos que se encuentren afectados por el Reglamento.

    En primer lugar, que hagan un análisis pormenorizado de los datos personales que tratan en las diferentes actividades de su negocio (datos de empleados, de clientes…) y en segundo lugar que hagan uso de las herramientas y guías proporcionadas por la Agencia Española de Protección de Datos, para apoyarse en la adaptación, y que así esta normativa tenga el menor impacto posible en su negocio.

 


Teresa Martínez Cabrera (DELOITTE)

Teresa Martinez Cabrera
  • Trayectoria profesional. Se incorporó a Deloitte en 2017 y es actualmente Abogado del Área de Propiedad Intelectual e Industrial/Tecnologías de la Información y Protección de Datos. Asesoramiento a clientes nacionales e internacionales en el ámbito de las nuevas tecnologías (sector IT, telecomunicaciones, marketing on-line y audiovisual, redes sociales, protección de datos personales etc.) así como en materia de Protección de Datos.
     
  • Proyectos relevantes. Protección de Datos: Asesoramiento íntegro y auditorías legales conforme a la normativa nacional en materia de protección de datos (LOPD y RLOPD) así como a nivel comunitario (RGPD);revisión y elaboración de políticas de privacidad; accesos a datos por cuenta de terceros; negociación/revisión/redacción de contratos de cesión de datos asesoramiento para la obtención de autorizaciones para la realización de transferencias internacionales de datos, Due Diligence e identificación de riesgos legales. Elaboración de planes de acción y de GAP analysis en proyectos de adaptación al Nuevo Reglamento (RGPD).
  • Contratación Informática y Comercio Electrónico. Revisión y redacción de avisos legales, políticas de privacidad, políticas de Cookies de sitios Web y asesoramiento en esta materia así como análisis del régimen jurídico aplicable a campañas comerciales en medios electrónicos.