El nuevo Reglamento de Protección de Datos (RGPD) está causando gran expectación, considerando que a partir del 25 de mayo de 2018 será de aplicación directa a personas físicas y jurídicas que realicen tratamiento de datos personales.
El RGDP viene a reemplazar a la Directiva 95/46/CE y su objeto principal no es sólo la protección de los datos personales, sino que también garantizar la libre circulación de los datos entre los diversos Estados Miembros.
El nuevo Reglamento de Protección de Datos será de aplicación sin necesidad de una norma nacional que trasponga sus exigencias.
Sin embargo, y especialmente en atención a las prerrogativas que se otorgan en determinadas materias a los Estados Miembros (edad y consentimiento de los menores, por ejemplo), en este momento se trabaja en una nueva Ley de Protección de Datos Personales que previsiblemente estará finalizada en mayo de 2018.
Pendientes quedan muchísimas interrogantes, de ahí que la 9ª sesión anual de la Agencia Española de Protección de Datos celebrada el 25 de mayo pasado fuese más que esperada especialmente por los profesionales del sector.
Hay poco tiempo y muchas cuestiones por resolver, aunque sabemos que el verdadero reto será la instauración práctica de este modelo que tiene matices y diferencias importantes respecto del actual.
Para saber un poco más, te dejo algunas claves y de paso algunos comentarios y novedades de la 9ª Sesión Anual de la Agencia Española de Protección de Datos.
¿Qué vas a encontrar en este artículo?
1.-EL NUEVO REGLAMENTO DEPROTECCIÓN DE DATOS YA ESTÁ EN VIGOR
El nuevo Reglamento de Protección de Datos entró en vigor el 25 de mayo de 2016, sin perjuicio de que la aplicación directa será a partir del 25 de mayo de 2018.
El tiempo intermedio entre una fecha y otra está concebido como un período de adaptación, precisamente para preparar su aplicación práctica.
En el intertanto, sigue plenamente vigente la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley.
Esto significa, por ejemplo, que, si bien el RGPD elimina la obligación de notificar ficheros ante la Agencia, actualmente sigue siendo obligatorio y por lo tanto debemos actuar conforme a la ley.
2.- EL ÁMBITO DE APLICACIÓN TERRITORIAL DEL NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS ES MÁS AMPLIO
Ya que el nuevo Reglamento también se aplicará a empresas extranjeras que traten datos de ciudadanos de la UE, aunque no tengan “equipos informáticos o medios” situados en la UE.
En concreto, si estas empresas se dedican a desarrollar actividades relacionadas con la oferta de productos o servicios a ciudadanos de la UE o realicen un seguimiento, monitorización y estudio de su comportamiento (como, por ejemplo, a través de Cookies), deberán ajustar ese tratamiento a las exigencias del nuevo Reglamento de Protección de Datos, quedando obligadas además a nombrar un representante en la UE.
3.- UN MODELO BASADO EN EL RIESGO
El nuevo Reglamento de Protección de Datos impulsa un modelo centrado en los riesgos.
Esto significa que el responsable del tratamiento debe valorar casuísticamente los riesgos que entraña un tratamiento determinado e implementar las medidas de control y minimización adecuadas a ese tratamiento específico.
En la 9ª Sesión Anual de la Agencia se manifestó claramente que el Reglamento actual (Real Decreto 1720/2007, de 21 de diciembre) no es un instrumento centrado en el riesgo. Lo que ofrece esa norma es prácticamente un catálogo de medidas acorde al nivel de los datos.
Pero los catálogos de medidas no sirven, especialmente si consideramos los avances tecnológicos (y de paso los nuevos riesgos que surgen cada día).
Esto no significa que la nueva ley de Protección de Datos no sugiera un listado de medidas mínimas.
Pero debemos considerar que no bastará cumplir con ese cuadro, porque la responsabilidad proactiva (Accountability) obligará, entre otras cosas, a analizar cada tratamiento en función de la naturaleza, alcance, contexto y finalidades del mismo, así como el impacto concreto que éste pueda tener para los derechos y libertad de las personas.
4.- EXIGENCIA DE RESPONSABILIDAD PROACTIVA (ACCOUNTABILITY)
El nuevo modelo de protección de datos quiere sacar el foco de las formalidades, para en cambio promover un cumplimiento efectivo y eficaz de la norma de forma anticipada.
El Accountability exige adoptar los procedimientos y medidas apropiadas que garanticen el cumplimiento del nuevo Reglamento, quedando a cargo de los responsables y encargados de los datos el poder demostrar que se ha actuado de acuerdo a sus requerimientos.
Este principio tiene varias manifestaciones, siendo algunas de las más importantes la privacidad por diseño y la privacidad por defecto.
Para ayudar en la implementación de la normativa de protección de datos, en la 9ª Sesión Anual se anunció la creación de una herramienta especial para Pymes que gestionan datos de escaso nivel de riesgo (normalmente clientes, proveedores, nóminas).
Dicha herramienta está constituida por un cuestionario, seguido del cual se proporcionarán documentos mínimos para estar en disposición de demostrar que se cumple con el nuevo Reglamento (registro de actividades de tratamiento, cláusula informativa y un listado de las medidas de seguridad mínimas, entre otros).
Por otra parte, en este sentido resulta muy ilustrativa la Guía para Responsables del Tratamiento que elaboró la Agencia de Protección de Datos.
5.- ¿EL CONSENTIMIENTO? EXPRESO Y DESGLOSADO
Nuestra actual normativa acepta el consentimiento tácito, cuestión que con el nuevo Reglamento de Protección de Datos cambia, ya que se exigirá una declaración afirmativa o clara acción afirmativa.
De esta forma, el consentimiento, que deberá ser libre, específico, informado e inequívoco, no podrá prestarse mediante casillas pre marcadas o por la inacción.
Por otra parte, y cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos, es decir, el consentimiento debe vertebrarse o desglosarse.
Y para los tratamientos que afecten categorías especiales de datos (convicciones religiosas; afiliación sindical; el tratamiento de datos genéticos, etc.) se requerirá el consentimiento explícito.
Con el fin de adaptar a la nueva normativa los procedimientos de recogidas de datos, la Agencia Española de Protección elaboró una Guía de recomendaciones que profundizan en el deber de informar y en la captación del consentimiento. Estas recomendaciones deberían adoptarse cuanto antes, y en definitiva excluir la recabación mediante consentimiento tácito.
Además, y de acuerdo a lo señalado en la 9ª Sesión Anual, estamos a la espera de las directrices del Grupo de Trabajo del artículo 29 en materia de consentimiento, especialmente en los casos en los que la recabación actual no cumpla con las nuevas exigencias (el preocupante Considerando -171-) o cuando se relaciona con áreas críticas, como el profiling.
Continuaremos hablando del nuevo Reglamento; principios; nuevos derechos de los interesados; autoridad de control, entre otros interesantes temas.
¡Nos vemos en la próxima publicación!