El día 25 de mayo de 2018 entra en vigor el Reglamento Europeo de Protección de Datos (RGPD) que establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.
El objetivo de esta normativa es proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
El proceso de adaptación al nuevo tratamiento de la información variará dependiendo del tipo de empresa (entidad pública, multinacional, pyme, autónomos…) y, sobre todo, de los tipos de datos con los que trabajen (datos de riesgo, sensibles, financieros…).
Las principales novedades que deberán tener en cuenta las empresas se resumen a continuación:
Ampliación del ámbito territorial. El Reglamento pasará a aplicarse también a empresas y entidades que se encuentren fuera de la Unión Europea cuando estas realicen acciones destinadas a ciudadanos de la UE o consecuencia de la monitorización de su comportamiento. Con esto se mejora sobre todo la protección de los ciudadanos europeos en materia de transacciones por internet cuando estas se efectúen fuera del territorio de la Unión.
Nuevos avisos. El nuevo Reglamento obliga a incluir nuevas advertencias que hasta ahora no lo eran. Por ejemplo: la base legal para el tratamiento de los datos o los períodos de retención de estos. Además, quedará especificada la necesidad de informar de manera fácil y clara a todos los usuarios.
Consentimiento. El nuevo RGPD exige que el consentimiento debe dejar de ser tácito, para ser “una manifestación inequívoca o una clara acción afirmativa”. Esto quiere decir que el responsable de los datos debe poder probar que tuvo el consentimiento.
Los tratamientos iniciados con anterioridad al inicio de la aplicación de este reglamento sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa.
Información. El RGPD incluye una serie de cuestiones que amplían las cláusulas informativas y que no estaban recogidas en la antigua Ley de Protección de Datos.
Evaluaciones de impacto sobre la protección de datos. Las entidades deberán realizar evaluaciones de impacto sobre la protección de datos, antes de poner en marcha el uso de los mismos, para minimizar el impacto que su uso pueda acarrear a los clientes. Este sistema será obligatorio solo para cierto tipo de información y para un tipo específico de empresas que manejan información sensible. La AGPD recomienda que las empresas que deban obligatoriamente realizar estas evaluaciones, que comiencen cuanto antes pues se necesita una preparación previa para escoger la metodología adecuada. Además, ello les facilitará la tarea cuando resulte obligatoria.
Delegados de protección de datos. El RGPD establece la figura del Delegado de Protección de Datos (DPD), que será obligatorio en:
- Autoridades y organismos públicos
- Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
- Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles
Relación entre responsables y encargados. El RGPD describe el tipo de contrato al que deben llegar el responsable de los datos con el encargado de los datos. En él se especifican las obligaciones de ambas partes ante la prestación del servicio acordado. Antes de la puesta en marcha del Reglamento, la Agencia recomienda dos cosas: revisar los antiguos contratos que seguirán vigentes a partir de mayo e incluir este tipo de cláusula en los nuevos contratos.
Solo lo necesario. Con el Reglamento en funcionamiento, quedará completamente prohibido recoger más datos de los estrictamente necesarios. Además, se exigirá también un consentimiento libre, informado e inequívoco de la persona que cede sus datos. Invalidando así el acuerdo tácito que existía hasta ahora ante el silencio o la inacción.
Derecho al olvido y derecho a la portabilidad. Dentro del nuevo Reglamento Europeo de Protección de Datos quedarán recogido, además, el derecho al olvido y el derecho a la portabilidad.
El derecho al olvido, recogido ya por el Tribunal de Justicia de la Unión Europea en 2014, defiende el derecho de las personas a que información obsoleta o no relevante por el transcurso del tiempo sea bloqueada, suprimida o desindexada. Ahora, solicitar que se supriman los datos personales dadas determinadas circunstancias será más fácil.
Con el derecho de portabilidad, las personas tendrán derecho a solicitar el envío de sus datos al responsable de tratar con ellos para transmitirlos a otro responsable.
Herramientas para pymes y herramientas sectoriales. Para ayudar a la implementación de este nuevo Reglamento en pequeñas empresas, la Agencia Española de Protección de Datos ha puesto en marcha FACILITA. UUna herramienta que permitirá a las entidades que operen con datos de bajo o muy bajo riesgo conocer si están cumpliendo con la normativa. También están trabajando en la elaboración de unas guías de análisis sectoriales para aquellas entidades que trabajan con datos de un nivel de riesgo mayor (como el manejo de datos sensibles).