Recientemente te contamos la obligación de incluir un nuevo perfil jurídico en las empresas. Hoy te queremos contar otra novedad en materia de Protección de Datos que afecta a toda la Unión Europea. Hace apenas unas semanas entró en vigor el nuevo Reglamento Europeo de Protección de Datos. Este hecho supone un hito en materia legislativa ya que afecta a la privacidad y a la protección de datos personales de todos los estados miembros de la Unión Europea.
Dada la importancia de dicha novedad, en este post queremos contarte todos los detalles sobre este nuevo reglamento: objetivos, ventajas, sanciones, entrada en vigor…
Novedades en el Reglamento Europeo de Protección de Datos
El pasado 25 de mayo entró en vigor este Reglamento de Protección de Datos aplicación directa en todos los Estados Miembros sin necesidad de transposición.
Si bien, dada la enorme importancia de las modificaciones que van a resultar necesarias, la propia norma establece que será de obligado cumplimiento sólo a partir del 25 de mayo de 2018.
Las empresas y profesionales tienen una exigente labor de actualización destinada a adaptar toda su organización a las obligaciones del nuevo Reglamento, lo que implica no sólo cambios superfluos o formales sino, en algunos casos, verdaderos cambios internos tanto organizativos como operativos y de procedimiento.
Hemos entrado, por tanto, en un período transitorio muy complejo en el camino hacia el nuevo marco común en materia de protección de datos que afecta no solo a los obligados por el mismo si no también al legislador español y a la AEPD (Agencia Española de Protección de Datos).
El Reglamento General de Protección de Datos Europeo supone el mayor logro legislativo en materia de privacidad y protección de datos personales en Europa de los últimos 20 años, sustituyendo (y derogando) la Directiva 95/46/CE, teniendo como una de sus principales finalidades modernizar la normativa actual adaptándola a las nuevas tecnologías y formas de comunicación.
Objetivos del Reglamento
- Armonizar la normativa de protección de datos a nivel europeo, garantizándose en toda la UE una aplicación de las normas de protección de datos coherente y homogénea.
- Dar más control a los ciudadanos sobre su información privada en un mundo digital en el que el uso de teléfonos inteligentes, redes sociales, banca por Internet y transferencias internacionales de datos están a la orden del día.
- Facilitar la libre circulación de datos personales dentro de la Unión y la transparencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales.
- Reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas.
- Generar la confianza que permita a la economía digital desarrollarse en todo el mercado interior europeo.
- Proporcionar a las personas físicas control sobre sus propios datos.
- Reforzar y especificar los derechos de los interesados y las obligaciones de quienes tratan y determinen el tratamiento de los datos personales.
- Regular el consentimiento del interesado.
- Impedir que la libre circulación de los datos personales en la Unión sea restringida o prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
Principios del Reglamento (art. 5)
- Licitud, lealtad y transparencia en el tratamiento.
- Limitación de la finalidad: los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
- Minimización de datos: los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
- Exactitud: los datos personales serán exactos y, si fuera necesario, actualizados.
- Limitación del plazo de conservación al tiempo necesario para los fines del tratamiento.
- Integridad y confidencialidad, garantizando una seguridad adecuada.
- Responsabilidad proactiva del responsable del tratamiento.
Principales novedades y ventajas introducidas
- El derecho al olvido (art. 17)
Tendrás derecho a ser «olvidado», es decir, a la supresión de tus datos personales cuando ya no quieras que sean procesados, siempre que no existan razones legítimas para que se mantengan.
Para hacer cumplir este derecho, si solicitas a una empresa de Internet que elimine tus datos, esa empresa, asimismo, deberá facilitar la solicitud a otras que repliquen los datos. Sin embargo, este derecho podría estar restringido en algunos casos, por ejemplo cuando se necesiten los datos con fines históricos, estadísticos y científicos, por razones de salud pública o para ejercer el derecho a la libertad de expresión. Además, el derecho al olvido no se aplicaría cuando la conservación de datos personales sea necesaria para cumplir un contrato o sea requerido por ley.
- Mejor control sobre quién tiene datos privados de alguien (art. 7)
La persona en cuestión (el interesado) tendrá que dar su consentimiento de forma clara y positiva al tratamiento de sus datos privados. Esto podría significar, por ejemplo, la selección de una casilla de un sitio web de Internet o de otra acción o declaración que indique claramente la aceptación de la propuesta de procesamiento de los datos personales. El silencio, las casillas ya marcadas o la inactividad por lo tanto no constituirá consentimiento. En el futuro, para una persona también debería ser tan fácil retirar su consentimiento como darlo.
- El derecho a la portabilidad de tus datos (artículo 20)
Tendrás derecho a la portabilidad de tus datos para que sea más fácil cambiar tus datos personales de una empresa a otra.
Por ejemplo, este derecho podrá permitirte cambiar a otro proveedor de correo electrónico sin perder los contactos o mensajes de correo electrónico anteriores.
Este derecho no sólo te dará más control sobre tus datos, sino que también estimulará la competencia en el mercado único digital.
- El derecho a ser informado en un lenguaje claro y sencillo (artículos 12, 13, 14)
Se intenta poner fin a la letra pequeña en las políticas de privacidad.
Antes de que se recojan los datos debe darse la información en un lenguaje claro y sencillo.
- El derecho a saber si tus datos han sido hackeados (artículos 33 y 34)
Las empresas y organizaciones deberán notificar a la autoridad nacional de supervisión de las violaciones graves de datos tan pronto como sea posible, de modo que los usuarios afectados puedan tomar las medidas apropiadas.
- Límites claros en el uso de perfiles (artículo 21)
Las nuevas normas establecen límites para el uso de perfiles, una técnica utilizada para analizar o predecir el rendimiento de una persona en el trabajo, la situación económica, la ubicación, la salud, las preferencias, fiabilidad o conducta basada en el tratamiento automatizado de tus datos personales.
En virtud del reglamento, los perfiles, como regla general, únicamente se permitirán con el consentimiento de la persona interesada, cuando lo permita la ley o cuando sea necesario para perseguir un contrato.
Además, el perfil no debe basarse únicamente en un tratamiento automatizado y debe incluir la evaluación humana, incluyendo la expectativa de la decisión que se ha alcanzado después de una evaluación de este tipo. Esto podría afectar la forma en que se evalúa la solvencia, por ejemplo.
- Protección especial para los niños (artículo 8)
Las nuevas normas establecen salvaguardias especiales para los niños en algunas áreas, ya que pueden ser menos conscientes de los riesgos y consecuencias relacionadas con el intercambio de sus datos personales. Por ejemplo, tendrán un claro derecho al olvido, se necesitará el consentimiento de sus padres para abrir una cuenta en las redes sociales como Facebook, Instagram o Snapchat, como ya es el caso en la mayoría de países de la UE en la actualidad.
Se pretende, así, proteger a los niños de ser presionados para compartir datos personales sin darse cuenta plenamente de las consecuencias de sus actos.
- Un acceso más fácil del interesado a sus datos personales.
- Creación de un Consejo Europeo de Protección de Datos.
Este Consejo estará formado por los representantes de cada una de las 28 autoridades de control independientes y sustituirá al actual Comité europeo de protección de datos del artículo 29.
- Seudonimización
Consiste en el tratamiento de datos personales de forma que no puedan atribuirse a una persona física identificada o identificable.
Beneficios del nuevo reglamento para las empresas
Un nuevo “one-stop-shop” o “ventanilla única” para las empresas. Significa que las empresas sólo tendrán que hacer frente a una autoridad de supervisión única, no 28, por lo que será más sencillo y barato para las empresas que hacen negocios en la UE.
Al mismo tiempo, esto también tendrá un impacto en la vigilancia de los gigantes de Internet con oficinas en varios países de la UE.
Por otra parte, las normas se aplicarán a todas las empresas enfocadas a los consumidores de la UE, con independencia de que estén establecidas dentro o fuera de la UE.
El reglamento deja claro que las empresas con sede fuera de Europa tendrán que seguir las mismas reglas cuando ofrecen bienes o servicios en el mercado de la UE. Esto ayudará a crear una igualdad de condiciones para todas las empresas que operan en la UE.
Al tener una regla en lugar de 28, la reforma de la protección de datos de la UE también ayudará a las pequeñas y medianas empresas a entrar en nuevos mercados.
En varios casos, las obligaciones de los controladores y procesadores de datos se ajustadas al tamaño de la empresa y/o la naturaleza de los datos objeto de tratamiento con el fin de evitar la creación de burocracia y cargas desproporcionadas para las empresas más pequeñas.
Se reduce la burocracia, pues ya no va a ser obligatorio para las empresas que inscriban sus ficheros, desapareciendo por tanto la Subdirección general de registro de ficheros.
No será necesaria la autorización previa para exportar datos a terceros países u organizaciones internacionales, si se realizan en base a cláusulas tipo aprobadas por la Comisión Europea.
Cumplimiento de la nueva normativa
Para garantizar la correcta aplicación de la nueva normativa se intensificarán las competencias de los agentes de protección de datos y se permitirá la imposición de multas sustanciales en caso de incumplimiento.
Las empresas tendrán que designar a un delegado de protección de datos si están manejando grandes cantidades de datos sensibles o si monitorean el comportamiento de muchos consumidores. Las empresas cuya actividad principal no sean las actividades de procesamiento de datos estarán exentas de esta obligación.
El capítulo VIII del Reglamento titulado: “Recursos, responsabilidades y sanciones” regula:
- El derecho de los interesados a presentar una reclamación ante la autoridad de control del Estado miembro en que tenga su domicilio (art. 77)
- El derecho a la tutela judicial efectiva contra una autoridad de control (art. 78), es decir se reconoce el derecho al recurso administrativo o extrajudicial contra una decisión jurídicamente vinculante de una autoridad de control.
- El derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento cuando considere que se han visto vulnerados sus derechos (art. 79)
- El derecho a indemnización y responsabilidad de cualquier responsable que haya participado en la acción que haya causado el daño (art. 82)
En el artículo 83 se incluye un régimen sancionador completo, que detalla tanto las agravantes como las atenuantes.
La imposición de multas de hasta el 4% de la facturación total de las empresas en todo el mundo debe constituir un impedimento real para romper las reglas. Lo ideal es adoptar medidas que garanticen el cumplimiento del personal data o datos personales para evitar que esto suceda.
Desde tugesto nos gustaría mandaros un mensaje de tranquilidad a nuestros respecto a las implicaciones y acciones a acometer. Recordad que el proceso todavía tiene que evolucionar hasta que España adapte la legislación al nuevo reglamento dentro del plazo de 2 años marcado por la UE.
No obstante, para cualquier duda o consulta sobre éste u otro tema relacionado con la protección de datos, LOPD/RGPD, no dudes en contactar con nosotros para ampliar tu información: