El 25 de mayo de 2016, los derechos en el tratamiento de datos de los ciudadanos europeos se ampliaron al mismo tiempo que lo hicieron las obligaciones de las organizaciones.
Desde aquella fecha, el Reglamento de Protección de Datos europeo entró en vigor. Esto supone que toda entidad que opera en la Unión Europea tiene dos años para adaptarse al nuevo marco normativo, ya que empezará a operar desde el 25 de mayo de 2018.
Las sanciones y multas a las que se enfrentan las organizaciones que no adapten su infraestructura a los requisitos de la nueva norma son muy fuertes y pueden ser de hasta 20 millones de euros o incluso del 4% del volumen de negocio.
La consultora Gartner estima que, para cuando llegue la fecha tope, más del 50% de las organizaciones a las que le afecte la normativa no se habrán ajustado al reglamento europeo. Como ciudadanos residentes en uno de los Estados miembros, adquirimos nuevos derechos.
Por ello, es nuestra obligación conocer las principales claves de la nueva ley de protección de datos para evitar sorpresas.
1. ¿Cuál es el objetivo del Reglamento Europeo de Protección de Datos?
Modernizar y unificar el derecho a la protección de datos de los ciudadanos de la Unión Europea.
Se pretende ofrecer mayor protección y cobertura a los ciudadanos ante las entidades que tratan datos de ciudadanos de la Unión Europea y que antes se regían por normas con otro nivel de protección.
También se quiere mejorar la capacidad de decisión de los usuarios, así como ofrecerles un mayor control sobre sus datos personales.
Además, las entidades que operan en el territorio europeo verán cómo se reducen los problemas con los agentes reguladores de cada país a la hora de tratar datos de los usuarios (sobre esto profundizaremos en el último punto). Por último, otro de los objetivos del nuevo reglamento es que las empresas se beneficien de un único mercado digital.
2. ¿A quién afecta el RGPD?
La nueva normativa europea de protección de datos afecta a toda organización, Estado o institución que trata datos de usuarios residentes en la Unión Europea.
También a los responsables y encargados no establecidos en la comunidad europea que tratan datos de ciudadanos radicados en este territorio.
Las organizaciones internacionales que gestionen datos de usuarios europeos han de asignar un responsable de datos que sea visible en la Unión Europea.
3. El derecho al olvido
Este derecho se origina en la jurisprudencia del Tribunal de Justicia de la Unión Europea el 13 de mayo de 2014, en el que el español, Mario Costeja, solicitó que se borrara información suya que le perjudicaba de un medio digital (La Vanguardia).
Entonces, el tribunal consideró que tanto el periódico digital como el buscador (Google) llevaban a cabo tratamiento de datos. Por lo que, mientras no se vulnere el derecho a la libertad de expresión, la sentencia dejó la puerta abierta a la solicitud de la retirada de información que afecta al derecho a la intimidad o al derecho al honor.
Como el reglamento de protección de datos europeo quiere dar mayores garantías a los ciudadanos, el derecho al olvido se ha incluido dentro de este nuevo marco normativo.
4. El derecho a la portabilidad de los datos
Desde el próximo 25 de mayo de 2018, un ciudadano europeo podrá pedir sus datos personales a la entidad que los trata y transmitirlos a otra organización sin ningún impedimento. Con esto se facilita el flujo de datos personales dentro de la Unión Europea, el cambio de proveedores de servicios y se favorece la competencia dentro del mercado común.
Sin embargo, este derecho no solo se aplica a la información que un individuo proporciona de manera directa a una entidad. También incluye cualquier tipo de dato generado y extraído de la propia actividad del usuario.
De ahí que los responsables de los tratamientos de datos han de adaptar sus infraestructuras a la nueva norma para poder contestar las solicitudes de portabilidad, por ejemplo: a través de aplicaciones para que los usuarios puedan descargar su información.
5. Responsabilidad activa y obtención del consentimiento
Con la RGPD, las entidades que operan dentro de la Unión Europea tendrán que adquirir un papel más activo y se reflejará en varios aspectos. Uno de ellos es que ya no podrán adquirir el consentimiento de obtención de información de los clientes y usuarios de manera tácita.
Dentro de unos meses, la captación de datos se ha de manifestar de manera específica, informada e inequívoca para que los interesados acepten o no el tratamiento de sus datos personales. Esto podría reflejarse en que el usuario deberá marcar una casilla en un sitio web que habilite el consentimiento en la recopilación de información suya. El silencio o casillas ya marcadas no serán válidas con la RGPD.
Además, si el tratamiento de datos de los usuarios o clientes tiene varios fines, se deberá pedir el consentimiento para cada fin. De esta manera, se pretende que toda solicitud de datos personales sea clara y concisa.
Con todo esto, el Reglamento General de Protección de Datos Europeo pretende conseguir que las organizaciones eviten que se produzcan daños difícilmente reparables a los ciudadanos. Dicho de otra manera, las entidades públicas y privadas que tratan datos en Europa no deberían actuar cuando ya se ha cometido una infracción, si no que deberán prevenir los daños que pueden causar a los ciudadanos al tratar sus datos de manera incorrecta.
Cuando hablamos de los metadatos, explicamos cómo se puede vulnerar la intimidad de un ciudadano a través de la recopilación de información suya sin el consentimiento expreso. Esta vulneración es el daño “difícilmente reparable” al que se refieren los reguladores del nuevo marco normativo europeo.
6. La Ventanilla Única, lo que los ciudadanos estábamos esperando [BONUS EXTRA]
Resulta interesante saber que con el Reglamento Europeo de Protección de datos, los ciudadanos podrán acudir a una sola autoridad interlocutora para denunciar o reclamar el tratamiento de sus datos. En el caso español, esta autoridad será la Agencia Española de Protección de Datos, pero cada país tendrá su propia autoridad.
Cada autoridad será la responsable de valorar si la denuncia o reclamación tiene un carácter nacional o transfronterizo, así como de elevar el caso al Comité Europeo de Protección de Datos en caso de que haya discrepancias insalvables entre las autoridades afectadas y el interesado.
Esta es una buena noticia para los ciudadanos europeos, ya que no solo tendrán un mayor control sobre la forma en la que las organizaciones tratan sus datos, sino que también dispondrán de los intrumentos necesarios para que ese control se efectúe en cualquier Estado miembro de la Unión Europea.
El 25 de mayo ya está aquí [Actualización 31/01/18]
Si bien es cierto que la AEPD (Asociación Española de Protección de Datos) ha declarado que el Reglamento Europeo de Protección de Datos se aplicará “con flexibilidad pero con rigor”, la realidad es que el 25 de mayo ya está a la vuelta de la esquina y según un estudio realizado por RSM el 92% de las empresas europeas no estarán ajustadas al nuevo reglamento.
¿Qué deberán hacer las empresas para estar preparadas?
Desde el momento en que el RGPD entre en vigor, las organizaciones pueden necesitar realizar una Evaluación de Impacto de Protección de Datos (DPIA por sus siglas en inglés). El DPIA es un instrumento para mapear los riesgos de privacidad de la obtención y tratamiento de datos personales que se realiza con antelación a estos procesos con el fin de tomar las medidas necesarias y reducir así los riesgos.
Las empresas deberán ejecutar un DPIA para cualquier tratamiento que entrañe un alto riesgo de privacidad para los interesados, especialmente en estos casos:
- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles;
- procesado de datos personales especiales (categorías especialmente protegidas) a gran escala;
- monitorización de personas de forma masiva y sistemática en un área de acceso público (por ejemplo, con cámaras de vigilancia).
Aunque no es necesario que se realice el DPIA con recursos internos, sí hay que asegurarse de que la evaluación se lleve a cabo. Además, si se ha designado un Delegado de Protección de Datos (DPD) dentro de la organización, él deberá ser el encargado de esta tarea.
Sin emabrgo, si el DPIA determina que existe un alto riesgo para los derechos o libertades de los interesados al no tomarse las medidas necesarias para mitigarlo, se deberá consultar a la entidad supervisora (la AEPD) antes de iniciar el tratamiento. La AEPD revisará el análisis y podrá contestar con recomendaciones, pedir más información o prohibir el tratamiento.
¿Cuáles son las consecuencias de incumplir el RGPD?
La Agencia Española de Protección de Datos está autorizada para imponer multas altísimas. Las empresas que no cumplan con las pautas de RGPD corren el riesgo de asumir multas a partir del 25 de mayo de 2018.
Esta nueva legislación tiene en cuenta el volumen de negocio total anual global del ejercicio financiero anterior de la empresa. Así, en el caso de infracciones leves, la sanción puede llegar al 2% del mismo, y en el caso de las infracciones más graves, al 4%.
Eso sí, en caso de que una empresa vulnere esta ley, se enfrentará a dos posibles tipos de multas: el primer grupo con un techo de hasta 10 millones de euros y un segundo techo de 20 millones para las infracciones más graves.
Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.
La notificación ha de incluir un contenido mínimo:
- La naturaleza de la violación.
- Categorías de datos y de interesados afectados.
- Medidas adoptadas por el responsable para solventar la quiebra .
- Si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados.
Esperamos que esta breve descripción de puntos a tener en cuenta para la puesta en marcha oficial y definitiva del RGPD, sirvan de ayuda a las empresas que aún no han establecido un proceso de adaptación a esta nueva normativa.
Para cualquier duda o consulta no duden en ponerse en contacto con nosotros y le asesoraremos personalmente.
[:]
