Aproximación al nuevo reglamento europeo de protección de datos.
En el mes de Mayo de 2016 entró en vigor en nuevo reglamento general de protección de datos, si bien no es aplicable hasta Mayo de 2018 al no haber expirado aun el período transitorio dispuesto para su efectiva aplicación. Así, si bien a día de hoy siguen vigentes las disposiciones nacionales al respecto y la Directiva 45/46, lo cierto es que debemos YA estar más que preparados para adoptar las medidas precisas para el cumplimiento de este esencial Reglamento. Piénsese que la figura del Reglamento europeo es directamente aplicable en la EU – no precisa normas de trasposición, de modo que se ha cumplir sin esperar normativa de desarrollo ni normas introductorias más allá del período transitorio para su entrada en vigor. Con todo, es evidente, que las empresas que actualmente cumplen ya con la actual LOPD tienen mucho camino adelantado en la buena dirección de cara a Mayo.
A partir de ahora, las personas responsables de los departamentos de datos de las empresas que los recaben deberán estar en todo momento en condiciones de demostrar que han adoptado mecanismos y vías para garantizar y demostrar el adecuado y legal tratamiento de los datos. En definitiva, el principio de responsabilidad proactiva que instaura el nuevo RGPD exige una actitud diligente y consciente de las empresas que manejen datos de carácter personal.
El nuevo Reglamento tiene su base en la responsabilidad activa del tratamiento de datos por parte de las organizaciones y empresas, previniendo las infracciones antes de que tengan lugar mediante, por ejemplo, el propio diseño de los mecanismos que utilicen para el tratamiento de datos. Las autoridades europeas exigen por tanto mayor implicación y seriedad a las organizaciones que utilizan datos, siendo más exigentes con las grandes empresas y multinacionales que con las pymes o micropymes, como parece lógico. De lo que se trata es de hacer un buen uso de los datos y prever brechas de seguridad activas mediante alertas. Así, el compendio de medidas que a estos efectos determina el RGPD se centran en la siguiente clasificación:
- Protección de datos desde el diseño
- Protección de datos por defecto
- Medidas de seguridad
- Mantenimiento de un registro de tratamientos
- Realización de evaluaciones de impacto sobre la protección de datos
- Nombramiento de un Delegado de protección de datos
- Promoción de códigos de conducta y esquemas de certificación.
El Reglamento se aplicará, como hasta ahora, a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, pero, ojo, se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento. Y con el fin de que la Unión Europea pueda controlar la aplicación de su propia normativa, las organizaciones deberán nombrar un representante en la UE, teniendo éste, entre otros cometidos, la obligación de proporcionar a los interesados los datos de contacto de su representante de modo simultáneo a la realización de la información relativa al tratamiento de sus datos personales. Esta novedad supone una garantía adicional a los ciudadanos europeos, ya que, actualmente, para tratar datos no es necesario mantener una presencia física sobre un territorio. El Reglamento es pues aplicable a empresas que hasta ahora estaban tratando datos personales de ciudadanos de la Unión pero su normativa de origen, de su país, no siempre era tan garantistas como la europea.
Desde el punto de vista de los ciudadanos, es extremadamente relevante destacar la introducción de dos elementos de peso:
- El derecho al olvido: derecho a que tus datos, si así lo deseas, sean suprimidos cuando ya hubieran cumplido la función para la que se obtuvieron. EL interesado puede solicitar que sus datos se bloqueen y no aparezcan en los resultados de las listas de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos ( STJUE de 13 de Mayo de 2014 ).
- El derecho a la portabilidad: este derecho se centra en la facultad de que el interesado pueda solicitar recuperar sus datos al responsable que los haya tratado de forma automatizada, en un formato que a ser posible, técnicamente, facilite la transferencia de los datos al nuevo responsable designado por el interesado.
Por lo que respecta a los MENORES, el Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años. Con todo, cada Estado de la Unión puede rebajar ese límite de edad, sin traspasar en ningún caso los 13 años. España continúa con el límite fijado en los 14 años; por debajo de esa edad, es necesario el consentimiento de padres o tutores.
En el caso de las empresas que recopilen datos personales, es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.
¿ Y qué hay del consentimiento ?
El Reglamento pide que el consentimiento sea LIBRE, INFORMADO, ESPECIFICO E INEQUIVOCO; y para ello se requiere una declaración del interesado o una acción positiva que indique indubitadamente el acuerdo del interesado. No tiene cabida el consentimiento tácito en el nuevo Reglamento europeo, de modo que las empresas deberán revisar su mecanismo de obtención y registro de consentimientos anteriores.
El consentimiento además debe ser verificable. Las organizaciones y empresas que recopilen datos personales han de estar en todo momento en posición de poder demostrar que obtuvieron los datos con el consentimiento libre, informado, específico e inequívoco del interesado. Ojo a las auditorías en este sentido.
Desde Picado Abogados aconsejamos a las empresas implicadas que comiencen a preparar la aplicación del RGPD, pues al no ser obligatorio hasta Mayo de 2018, durante este espacio de tiempo pueden detectarse insuficiencias, errores, dificultades, que podrán ir corrigiéndose sin temer la actuación o la intervención del Organismo de supervisión.
Juan Luis Picado
Director de Picado Abogados