Nuevo Reglamento europeo de protección de datos
¿Qué novedades introduce el Reglamento General de Protección de Datos y cómo compaginar su cumplimiento con la normativa actual?
Nuevo Reglamento General de Protección de Datos (RGPD), desde el 25 de mayo de 2016, que entró en vigor, aunque su aplicación efectiva, no se producirá hasta mayo de 2018.
1. Obtención del consentimiento para el tratamiento de datos
Normativa actual (LOPD):
La actual LOPD exige el consentimiento libre, informado, específico e inequívoco de los interesados para el tratamiento de sus datos.
Normativa futura (RGPD):
El RGPD además de los principios de consentimiento, que establece la LOPD, como novedad, indica que deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad.
El silencio, las casillas ya marcadas o la inacción no constituirán prueba de consentimiento (Considerando 32 del RGPD).
2. Deber de información
Normativa actual (LOPD):
Nuestra legislación actual establece la obligación, de informar en todo proceso de recogida de datos personales, sobre la existencia de un fichero o tratamiento de datos de carácter personal.
Asimismo, cuando los datos personales se hayan obtenido de terceros, el responsable del tratamiento, dispondrá de un plazo de tres meses para informar al interesado, debiendo indicar la procedencia de los datos.
Normativa aplicable en 2018 (RGPD):
El Reglamento establece la obligación de informar sobre nuevos aspectos.
Habrá que explicar la base legal, para el tratamiento de los datos, el período de conservación de los mismos, y que los interesados podrán dirigir sus reclamaciones, a las Autoridades de protección de datos, si consideran que hay un problema con la forma en que están manejando sus datos.
En lo que respecta al interesado cuyos datos se han obtenido de otra fuente, la información anteriormente indicada deberá facilitarse en el plazo de máximo de un mes y no de tres meses.
Es aconsejable revisar los contenidos de las leyendas legales que hayan incorporado en los procesos de recogida de datos.
3. Derechos de los interesados
Normativa actual (LOPD)
Normativa futura (RGPD)
Otra novedad es que se establece la obligación para el responsable del tratamiento de proporcionar medios para que las solicitudes de ejercicio de derechos se presenten por medios electrónicos, en particular cuando los datos personales se hayan recabado a través de estos medios.
Las organizaciones deben implementar en sus procedimientos de información los nuevos derechos que asisten a los interesados.
4. Evaluación de impacto del tratamiento de datos personales
Normativa actual (LOPD):
No está regulado.
Normativa aplicable en 2018 (RGPD):
Se establece la obligación de realizar una evaluación de impacto para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas, en la que se evalúe el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.
Si su organización puede estar tratando datos de esta índole está obligada a realizar la evaluación de impacto.
La Agencia Española de Protección de Datos publicó la Guía para una Evaluación de Impacto en la protección de Datos Personales en 2014.
5. Comunicación de fallos a la autoridad de protección de datos
Normativa actual (LOPD):
No está regulado.
Normativa aplicable en 2018 (RGPD):
RGPD impone al responsable del tratamiento la obligación de notificar los fallos de seguridad que se produzcan en su organización, a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas.
El responsable del tratamiento debe contar con un sistema efectivo para realizar el reporte a la AEPD o para comunicar el fallo a los afectados si existe algún riesgo para sus derechos.
Las organizaciones pueden ir estableciendo, al menos, procesos internos para canalizar las comunicaciones de brechas de seguridad o incidentes que afecten a la protección de datos.
Estas comunicaciones internas deben realizarse a la persona que asumirá la figura de Delegado de Protección de Datos, en su defecto, a la persona encargada de coordinar el cumplimiento de la normativa de protección de datos.
6. Registro de tratamiento de datos
Normativa actual (LOPD):
No regulado.
Normativa aplicable en 2018 (RGPD):
Las organizaciones que habitualmente realicen tratamiento de datos de riesgo, para la privacidad de los interesados, deberán contar con un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.
Dicho registro deberá contener información relativa, a los tratamientos de datos que se realicen, los datos personales que se traten, los destinatarios de los datos, la finalidad de dicho tratamiento y las medidas técnicas y de seguridad adoptadas por la empresa para realizar dicho tratamiento.
Se recomienda a las organizaciones que traten datos de riesgo para la privacidad de los interesados o traten datos sensibles, que pongan en marca la redacción de este registro de tratamiento de datos.
De momento, puede integrarse este registro en el Documento de Seguridad, hasta que la Agencia Española de Protección de Datos facilite instrucciones concretas acerca del formato y gestión de este registro interno.
7. Aplicación de medidas de seguridad
Normativa actual (RLOPD):
Actualmente el RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (RLOPD) establece la obligación de aplicar diferentes medidas de seguridad, en función del nivel básico, medio o alto de los datos tratados.
Normativa aplicable en 2018 (RGPD):
El RGPD ya no distingue entre ficheros de nivel básico, medio o alto, sino que especifica que las medidas de seguridad se aplicarán teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.
De momento, basta con que se mantenga actualizado el Documento de Seguridad, siempre que las medidas técnicas y organizativas sean adecuadas para garantizar la seguridad, integridad y privacidad de la información de carácter personal tratada.
8. Delegado de protección de datos (dpo)
Normativa actual (RLOPD):
El RLOPD, recoge en su artículo 95 la figura de Responsable de Seguridad, cuya designación es obligatoria en caso de tratamiento de ficheros de nivel medio/alto. Sus funciones se centran en coordinar la implementación de las medidas de seguridad establecidas en el mencionado RLOPD.
Normativa aplicable en 2018 (RGPD):
Sus funciones se centran en:
- Informar y asesorar al responsable del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el Reglamento General.
- Supervisar la aplicación de las normas por el encargado del tratamiento en materia de protección de datos personales.
- La documentación, notificación y comunicación de las violaciones de datos personales.
- Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella por solicitud de las mismas o por iniciativa propia.
- Ejercer de punto de contacto con la autoridad de control sobre cuestiones relacionadas con el tratamiento de datos personales.
9. Privacidad desde el diseño y por defecto, códigos de conducta y esquemas de certificación
Normativa actual (LOPD):
No está regulado.
Normativa aplicable en 2018 (RGPD):
Se refuerza el concepto de la responsabilidad proactiva en el cumplimiento normativo.
Es aconsejable que las organizaciones que tengan procesos complejos de tratamiento de datos o manejen datos especialmente sensibles,
implementen protocolos internos o procesos de certificación que faciliten y garanticen el cumplimiento del RGPD.