El próximo 25 de mayo de 2018 será de obligado cumplimiento el Reglamento General de Protección de Datos de la Unión Europea (RGPD). Son muchas las obligaciones que tanto las empresas, autónomos y organismos públicos y privados que traten datos de carácter personal deben conocer y el tiempo es escaso, por lo que es necesario adoptar sin dilación las decisiones necesarias para llegar a ese plazo en situación de cumplimiento. El riesgo de no hacerlo es el de posibles sanciones: las multas pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual global del infractor. La autoridad de control puede actuar de oficio o por denuncia de los interesados.
A
partir del próximo 25 de mayo de 2018 entra en vigor el nuevo Reglamento Europeo General de
Protección de Datos (RGPD), relativo a la protección de las personas físicas en
lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos, una norma que será de aplicación obligatoria a partir de esa fecha
y que impone a las empresas numerosos deberes en relación a la privacidad.
partir del próximo 25 de mayo de 2018 entra en vigor el nuevo Reglamento Europeo General de
Protección de Datos (RGPD), relativo a la protección de las personas físicas en
lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos, una norma que será de aplicación obligatoria a partir de esa fecha
y que impone a las empresas numerosos deberes en relación a la privacidad.
Queda,
además, pendiente la aprobación de la nueva Ley Orgánica de Protección de
Datos, que se encuentra actualmente en tramitación parlamentaria y que muy
probablemente no estará lista para el próximo 25 de mayo, fecha de aplicación
del Reglamento europeo. De todas formas, esto no supone ningún tipo de ventaja
o inconveniente, puesto que el Reglamento europeo será plenamente exigible de
todas formas.
además, pendiente la aprobación de la nueva Ley Orgánica de Protección de
Datos, que se encuentra actualmente en tramitación parlamentaria y que muy
probablemente no estará lista para el próximo 25 de mayo, fecha de aplicación
del Reglamento europeo. De todas formas, esto no supone ningún tipo de ventaja
o inconveniente, puesto que el Reglamento europeo será plenamente exigible de
todas formas.
Atención. El RGPD es un tipo de
norma que tiene aplicación directa en todos los estados de la UE y, por tanto,
no precisa de ningún tipo de mecanismo de transposición específico. Dicho de
otra forma, no hace falta que exista ninguna ley española para que el
Reglamento europeo resulte obligatorio, es exigible como si fuera una ley
nacional.
norma que tiene aplicación directa en todos los estados de la UE y, por tanto,
no precisa de ningún tipo de mecanismo de transposición específico. Dicho de
otra forma, no hace falta que exista ninguna ley española para que el
Reglamento europeo resulte obligatorio, es exigible como si fuera una ley
nacional.
Es
importante establecer un mapa de ruta para cumplir con el nuevo Reglamento, ya
que hay numerosas decisiones jurídicas relevantes a tener en cuenta.
importante establecer un mapa de ruta para cumplir con el nuevo Reglamento, ya
que hay numerosas decisiones jurídicas relevantes a tener en cuenta.
El
primer paso que todas las empresas deberían ejecutar es identificar y analizar las áreas de riesgo y documentar los
tratamientos de datos personales que se llevan a cabo, a través de un
inventario de todas las actividades de tratamiento que realiza la compañía. De
esta manera será más sencillo clasificar los datos de acuerdo con: su
naturaleza, finalidad, categoría, origen, si son susceptibles de ser
compartidos, etc.
primer paso que todas las empresas deberían ejecutar es identificar y analizar las áreas de riesgo y documentar los
tratamientos de datos personales que se llevan a cabo, a través de un
inventario de todas las actividades de tratamiento que realiza la compañía. De
esta manera será más sencillo clasificar los datos de acuerdo con: su
naturaleza, finalidad, categoría, origen, si son susceptibles de ser
compartidos, etc.
Son
muchas las obligaciones que tanto las empresas, autónomos y organismos públicos
y privados que traten datos de carácter personal deben conocer y el tiempo es
escaso, por lo que es necesario adoptar sin dilación las decisiones necesarias
para llegar a ese plazo en situación de cumplimiento. El riesgo de no hacerlo
es el de posibles sanciones: las multas pueden llegar hasta los 20 millones de
euros o el 4% de la facturación anual global del infractor. La autoridad de
control puede actuar de oficio o por denuncia de los interesados.
muchas las obligaciones que tanto las empresas, autónomos y organismos públicos
y privados que traten datos de carácter personal deben conocer y el tiempo es
escaso, por lo que es necesario adoptar sin dilación las decisiones necesarias
para llegar a ese plazo en situación de cumplimiento. El riesgo de no hacerlo
es el de posibles sanciones: las multas pueden llegar hasta los 20 millones de
euros o el 4% de la facturación anual global del infractor. La autoridad de
control puede actuar de oficio o por denuncia de los interesados.
En
cuanto a los cambios y obligaciones que afectan a las empresas, podemos
destacar entre otros los siguientes:
cuanto a los cambios y obligaciones que afectan a las empresas, podemos
destacar entre otros los siguientes:
Protección de Datos (DPD / DPO). El Reglamento obliga a quienes realicen
ciertos tratamientos, a nombrar un DPO, que podrá ser externo o interno. Un DPO
deberá ser una persona experta en Protección de Datos y en métodos y técnicas
de Seguridad de la información.- Exigencia de la
realización de una evaluación de impacto relativa a la protección de datos para ciertos
tratamientos. - Violaciones de la
seguridad de los datos personales. Obligatoriedad de comunicarlas en un plazo de 72 horas a la Agencia Española
de Protección de Datos, y en casos graves, a los propios afectados. - Se elimina el
consentimiento tácito (por silencio), lo que obligará a las empresas a recabar
un nuevo consentimiento para poder mantener todos aquellos datos que en el
pasado se obtuvieron tácitamente o buscarles otra cobertura legal. - Se amplían las
obligaciones de información a los afectados, lo que obligará ponerles al día en
dicha información a los ya existentes. - Se amplía el
contenido mínimo en los contratos de acceso a datos por parte de terceros, por
lo que deberán de establecerse de nuevo los contratos con los encargados de
tratamiento, dado que los actuales no cumplen con el RGPD. - El RGPD no establece
diferenciación entre datos personales y datos ‘profesionales’ (datos de
contacto de personas físicas que prestan sus servicios en una persona jurídica
y empresarios individuales) como estableció el vigente Reglamento, lo que
obligará a las empresas a tener que realizar acciones informativas a esta
categoría de datos.
1.-
CONSENTIMIENTO EXPRESO
CONSENTIMIENTO EXPRESO
Se
establece la obligación de las empresas de obtener un consentimiento expreso,
inequívoco y verificable, y no tácito de la información que se obtenga de sus
clientes. Se considera consentimiento tácito cuando, después de haber recibido
la información correspondiente, el usuario no dice que no (ejemplo: “si no me
contestas antes de 30 días, entonces te enviaré información comercial de
terceros”).
establece la obligación de las empresas de obtener un consentimiento expreso,
inequívoco y verificable, y no tácito de la información que se obtenga de sus
clientes. Se considera consentimiento tácito cuando, después de haber recibido
la información correspondiente, el usuario no dice que no (ejemplo: “si no me
contestas antes de 30 días, entonces te enviaré información comercial de
terceros”).
Por
tanto, el consentimiento tácito se considera válido, siempre y cuando no nos
encontremos ante datos especialmente protegidos.
tanto, el consentimiento tácito se considera válido, siempre y cuando no nos
encontremos ante datos especialmente protegidos.
Atención: A partir de la entrada en vigor del nuevo RGPD, no se podrá seguir
obteniendo el consentimiento de los afectados por omisión. Será necesario
revisar todos los tratamientos anteriores, para adecuarlos a las previsiones de
la nueva normativa.
obteniendo el consentimiento de los afectados por omisión. Será necesario
revisar todos los tratamientos anteriores, para adecuarlos a las previsiones de
la nueva normativa.
Puede
ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción
del interesado (por ejemplo, cuando el interesado continúa navegando por una
web y acepta así el que se utilicen cookies para monitorizar su navegación).
ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción
del interesado (por ejemplo, cuando el interesado continúa navegando por una
web y acepta así el que se utilicen cookies para monitorizar su navegación).
2.-
TRANSPARENCIA EN LA INFORMACIÓN
TRANSPARENCIA EN LA INFORMACIÓN
Será
necesario que las empresas detallen explícitamente y con un lenguaje
comprensible los datos e información personal requerida al usuario o cliente y
solo se podrá tratar los datos en caso que tengan un interés legítimo.
necesario que las empresas detallen explícitamente y con un lenguaje
comprensible los datos e información personal requerida al usuario o cliente y
solo se podrá tratar los datos en caso que tengan un interés legítimo.
El
deber de informar a los afectados sobre el uso y las finalidades del
tratamiento de datos, sufre una importante modificación con el nuevo RGPD, pues
se amplía considerablemente la
información que se les debe suministrar, incluyendo aspectos no
contemplados hasta la fecha como:
deber de informar a los afectados sobre el uso y las finalidades del
tratamiento de datos, sufre una importante modificación con el nuevo RGPD, pues
se amplía considerablemente la
información que se les debe suministrar, incluyendo aspectos no
contemplados hasta la fecha como:
- Base
jurídica del tratamiento - Intención
de realizar transferencias internacionales - Datos
del Delegado de Protección de Datos (si lo hubiere) - El
plazo o los criterios de conservación de la información, - La
existencia de decisiones automatizadas o elaboración de perfiles, - El
derecho a presentar una reclamación ante las Autoridades de Control
Atención. Los procedimientos, modelos o formularios diseñados de conformidad con
la LOPD, deberán ser revisados y adaptados al nuevo RGPD, tanto para adaptarlos
al nuevo contenido del deber de informar, como para ajustar su forma a los
requisitos de precisión y claridad que exige la nueva normativa.
la LOPD, deberán ser revisados y adaptados al nuevo RGPD, tanto para adaptarlos
al nuevo contenido del deber de informar, como para ajustar su forma a los
requisitos de precisión y claridad que exige la nueva normativa.
3.-
SEGURIDAD
SEGURIDAD
Las
empresas están obligadas a informar cuando hayan sufrido una brecha de
seguridad a las autoridades de control y, dependiendo de la gravedad, a los
afectados. Aunque es un asunto necesario hoy en día, el reglamento establece la
necesidad de dejar plasmada una estrategia en materia de seguridad.
empresas están obligadas a informar cuando hayan sufrido una brecha de
seguridad a las autoridades de control y, dependiendo de la gravedad, a los
afectados. Aunque es un asunto necesario hoy en día, el reglamento establece la
necesidad de dejar plasmada una estrategia en materia de seguridad.
En
la nueva normativa, las medidas de seguridad no aparecen tan detalladas, sino
que cada organización deberá contar con
un nivel de seguridad adecuado en función de los riesgos detectados en el
análisis previo.
la nueva normativa, las medidas de seguridad no aparecen tan detalladas, sino
que cada organización deberá contar con
un nivel de seguridad adecuado en función de los riesgos detectados en el
análisis previo.
Además,
la tipología de los datos no será la única variable a tomar en consideración a
la hora de determinar las medidas técnicas y organizativas aplicables sino que,
por el contrario, el nuevo RGDP tiene en cuenta:
la tipología de los datos no será la única variable a tomar en consideración a
la hora de determinar las medidas técnicas y organizativas aplicables sino que,
por el contrario, el nuevo RGDP tiene en cuenta:
- El
coste de la técnica - Los
costes de aplicación - La
naturaleza, el alcance, el contexto y los fines del tratamiento - Los
riesgos para los derechos y libertades
Atención. El esquema de medidas de seguridad previsto en el Reglamento de
Desarrollo de la LOPD no seguirá siendo válido de forma automática. Es
necesario determinar, caso por caso, las medidas aplicables, bajo un enfoque de
riesgo, basado en el principio de la seguridad desde el diseño y por defecto.
Desarrollo de la LOPD no seguirá siendo válido de forma automática. Es
necesario determinar, caso por caso, las medidas aplicables, bajo un enfoque de
riesgo, basado en el principio de la seguridad desde el diseño y por defecto.
4.-
ENCARGADOS DE TRATAMIENTO
ENCARGADOS DE TRATAMIENTO
También
la figura de los encargados de tratamiento sufre importantes cambios en la
nueva regulación. En síntesis, estos cambios se pueden resumir en tres puntos:
la figura de los encargados de tratamiento sufre importantes cambios en la
nueva regulación. En síntesis, estos cambios se pueden resumir en tres puntos:
1)
El nuevo RGPD establece obligaciones
expresamente dirigidas a los encargados de tratamiento, como:
El nuevo RGPD establece obligaciones
expresamente dirigidas a los encargados de tratamiento, como:
- Mantener
un registro de actividades de tratamiento. - Determinar
las medidas de seguridad aplicables a los tratamientos que realizan. - Designar
a un Delegado de Protección de Datos en los casos previstos por el RGPD.
2)
Se acentúa el deber de diligencia en la
elección del encargado del tratamiento, de manera que los responsables
habrán de elegir únicamente encargados que ofrezcan garantías suficientes para
aplicar medidas técnicas y organizativas apropiadas.
Se acentúa el deber de diligencia en la
elección del encargado del tratamiento, de manera que los responsables
habrán de elegir únicamente encargados que ofrezcan garantías suficientes para
aplicar medidas técnicas y organizativas apropiadas.
3)
Se modifica el contenido mínimo que debe
incluir el contrato con el encargado del tratamiento, incluyendo aspectos
como:
Se modifica el contenido mínimo que debe
incluir el contrato con el encargado del tratamiento, incluyendo aspectos
como:
- Objeto,
duración, naturaleza y la finalidad del tratamientos - Tipo
de datos personales y categorías de interesados - Obligación
del encargado de tratar los datos personales únicamente siguiendo
instrucciones documentadas del responsable - Condiciones
para que el responsable pueda dar su autorización previa, específica o
general, a las subcontrataciones - Asistencia
al responsable, siempre que sea posible, en la atención al ejercicio de
derechos de los interesados…
Atención. Se deben revisar todos los contratos de encargo de tratamiento firmados
con anterioridad, para verificar si cumplen las nuevas exigencias del RGPD.
con anterioridad, para verificar si cumplen las nuevas exigencias del RGPD.
5.-
DERECHOS DEL CIUDADANO
DERECHOS DEL CIUDADANO
El
nuevo RGPD incluye nuevos derechos como el derecho a la portabilidad y el
derecho al olvido, el derecho a no ser objeto de decisiones individualizadas y
el derecho a la limitación del tratamiento.
nuevo RGPD incluye nuevos derechos como el derecho a la portabilidad y el
derecho al olvido, el derecho a no ser objeto de decisiones individualizadas y
el derecho a la limitación del tratamiento.
Ø EL DERECHO DE ACCESO: Es el derecho a conocer qué datos de carácter
personal tuyos están siendo tratados por parte del responsable, la finalidad de
este tratamiento, el origen de los citados datos y si se han comunicado o se
van comunicar a un tercero.
personal tuyos están siendo tratados por parte del responsable, la finalidad de
este tratamiento, el origen de los citados datos y si se han comunicado o se
van comunicar a un tercero.
Atención: Según la LOPD, el responsable
del tratamiento debía facilitarse todos los datos de base del afectado, pero no
copias o documentos. Sin embargo, el nuevo RGPD reconoce expresamente el
derecho de los afectados a obtener gratuitamente una copia de los datos
personales objeto de tratamiento.
del tratamiento debía facilitarse todos los datos de base del afectado, pero no
copias o documentos. Sin embargo, el nuevo RGPD reconoce expresamente el
derecho de los afectados a obtener gratuitamente una copia de los datos
personales objeto de tratamiento.
Si es posible, el responsable del tratamiento debe
estar facultado para facilitar acceso remoto a un sistema seguro que ofrezca al
interesado un acceso directo a sus datos personales.
estar facultado para facilitar acceso remoto a un sistema seguro que ofrezca al
interesado un acceso directo a sus datos personales.
Ø EL DERECHO DE RECTIFICACION: Consiste en la posibilidad de modificar aquellos
datos que sean inexactos o incompleto
datos que sean inexactos o incompleto
Atención: Además de rectificar
los datos inexactos, se incluye el derecho a que se completen los datos
personales incompletos, inclusive mediante una declaración adicional.
los datos inexactos, se incluye el derecho a que se completen los datos
personales incompletos, inclusive mediante una declaración adicional.
Ø EL DERECHO DE CANCELACIÓN: Permite la cancelación de datos personales que sean
inadecuados o excesivos.
inadecuados o excesivos.
Atención: Los interesados tienen derecho a que sus datos personales se supriman y
dejen de tratarse:
dejen de tratarse:
ü si ya no son necesarios para los fines para los que fueron
recogidos o tratados de otro modo,
recogidos o tratados de otro modo,
ü si los interesados han retirado su consentimiento para el
tratamiento o se oponen al tratamiento de datos personales que les conciernen,
tratamiento o se oponen al tratamiento de datos personales que les conciernen,
ü si el tratamiento de sus datos personales incumple de otro modo
el RGPD
el RGPD
Ø El DERECHO DE OPOSICION: Mediante el ejercicio de este derecho el interesado
puede oponerse al tratamiento de sus datos personales en los siguientes
supuestos:
puede oponerse al tratamiento de sus datos personales en los siguientes
supuestos:
ü Cuando no siendo necesario
su consentimiento para el tratamiento, exista un motivo legítimo y fundado
referente a su concreta situación personal (salvo que una Ley establezca lo
contrario).
su consentimiento para el tratamiento, exista un motivo legítimo y fundado
referente a su concreta situación personal (salvo que una Ley establezca lo
contrario).
ü Cuando estemos ante
tratamientos de datos personales cuya finalidad sea la realización de
actividades de publicidad y prospección comercial
tratamientos de datos personales cuya finalidad sea la realización de
actividades de publicidad y prospección comercial
ü Cuando el tratamiento tenga
como fin la adopción de una decisión referida a su persona, basada únicamente
en un tratamiento automatizado de sus datos personales
como fin la adopción de una decisión referida a su persona, basada únicamente
en un tratamiento automatizado de sus datos personales
Ø DERECHO AL OLVIDO: Es una manifestación de los derechos de cancelación u
oposición en el entorno online. El responsable del tratamiento que haya hecho
públicos datos personales, está obligado a indicar a los responsables del
tratamiento que estén tratando tales datos personales, que supriman todo enlace
a ellos, o las copias o réplicas de los mismos.
oposición en el entorno online. El responsable del tratamiento que haya hecho
públicos datos personales, está obligado a indicar a los responsables del
tratamiento que estén tratando tales datos personales, que supriman todo enlace
a ellos, o las copias o réplicas de los mismos.
Atención: El derecho al olvido tiene algunas limitaciones como la libertad de
expresión y el derecho a la información, el interés público en el ámbito de la
salud, la investigación así como la defensa de reclamaciones.
expresión y el derecho a la información, el interés público en el ámbito de la
salud, la investigación así como la defensa de reclamaciones.
Ø DERECHO A LA PORTABILIDAD DE LOS DATOS: Es una forma avanzada del
derecho de acceso por el cual la copia que se proporciona al interesado debe
ofrecerse en un formato estructurado, de uso común y lectura mecánica. Implica
que los datos personales del interesado se transmiten directamente de un
responsable a otro, sin necesidad de que sean transmitidos previamente al
propio interesado, siempre que ello sea técnicamente posible.
derecho de acceso por el cual la copia que se proporciona al interesado debe
ofrecerse en un formato estructurado, de uso común y lectura mecánica. Implica
que los datos personales del interesado se transmiten directamente de un
responsable a otro, sin necesidad de que sean transmitidos previamente al
propio interesado, siempre que ello sea técnicamente posible.
Ø DERECHO A NO SER OBJETO DE DECISIONES INDIVIDUALIZADAS. El interesado debe tener
derecho a no ser objeto de una decisión, que puede incluir una medida, que
evalúe aspectos personales relativos a él, y que se base únicamente en el
tratamiento automatizado y produzca efectos jurídicos en él o le afecte
significativamente de modo similar.
derecho a no ser objeto de una decisión, que puede incluir una medida, que
evalúe aspectos personales relativos a él, y que se base únicamente en el
tratamiento automatizado y produzca efectos jurídicos en él o le afecte
significativamente de modo similar.
Ø DERECHO A LA LIMITACION DEL TRATAMIENTO: Solicitar al responsable
que suspenda el tratamiento de datos cuando:
que suspenda el tratamiento de datos cuando:
ü Se impugne la exactitud de
los datos, mientras se verifica dicha exactitud por el responsable.
los datos, mientras se verifica dicha exactitud por el responsable.
ü El interesado ha ejercitado
su derecho de oposición al tratamiento de datos, mientras se verifica si los
motivos legítimos del responsable prevalecen sobre el interesado.
su derecho de oposición al tratamiento de datos, mientras se verifica si los
motivos legítimos del responsable prevalecen sobre el interesado.
ü el tratamiento sea ilícito
y el interesado se oponga a la supresión de los datos personales y solicite en
su lugar la limitación de su uso;
y el interesado se oponga a la supresión de los datos personales y solicite en
su lugar la limitación de su uso;
ü el responsable ya no
necesite los datos personales para los fines del tratamiento, pero el
interesado los necesite para la formulación, el ejercicio o la defensa de
reclamaciones
necesite los datos personales para los fines del tratamiento, pero el
interesado los necesite para la formulación, el ejercicio o la defensa de
reclamaciones
6-
REGISTRO
REGISTRO
El
reglamento exige la obligación de registrar documentalmente las operaciones de
tratamiento, tanto por parte de los Responsables de Fichero como por los
Encargados de Tratamiento.
reglamento exige la obligación de registrar documentalmente las operaciones de
tratamiento, tanto por parte de los Responsables de Fichero como por los
Encargados de Tratamiento.
7.-
¿QUÉ PÁGINAS WEB DEBEN SOLICITAR UN CONSENTIMIENTO?
¿QUÉ PÁGINAS WEB DEBEN SOLICITAR UN CONSENTIMIENTO?
Cualquier
página web o tienda online que recoja datos personales a través de formularios
(de contacto, de suscripción o de solicitud de presupuesto) debe solicitar el
consentimiento de los usuarios para poder tratar sus datos.
página web o tienda online que recoja datos personales a través de formularios
(de contacto, de suscripción o de solicitud de presupuesto) debe solicitar el
consentimiento de los usuarios para poder tratar sus datos.
8.-
¿PUEDO ENVIAR COMUNICACIONES COMERCIALES A CLIENTES SIN CONSENTIMIENTO?
¿PUEDO ENVIAR COMUNICACIONES COMERCIALES A CLIENTES SIN CONSENTIMIENTO?
Se
permite el envío de mensajes publicitarios o comerciales por correo electrónico
a aquellos usuarios que previamente lo hubieran solicitado o autorizado de
forma expresa. También se admite el envío de comunicaciones comerciales a
aquellos usuarios con los que exista una relación contractual previa, en cuyo
caso el proveedor podrá enviar publicidad sobre productos o servicios similares
a los contratados por el cliente.
permite el envío de mensajes publicitarios o comerciales por correo electrónico
a aquellos usuarios que previamente lo hubieran solicitado o autorizado de
forma expresa. También se admite el envío de comunicaciones comerciales a
aquellos usuarios con los que exista una relación contractual previa, en cuyo
caso el proveedor podrá enviar publicidad sobre productos o servicios similares
a los contratados por el cliente.
Para
más información, puede consultar también la página Web de la AEPD:
más información, puede consultar también la página Web de la AEPD:
Pueden
ponerse en contacto con este despacho profesional para cualquier duda o
aclaración que puedan tener al respecto.
ponerse en contacto con este despacho profesional para cualquier duda o
aclaración que puedan tener al respecto.
Un
cordial saludo,
cordial saludo,
José María Quintanar Isasi