Novedades sobre la ley de protección de datos

jose-maria-baños.jpg

JOSE MARÍA BAÑOS

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) entró en vigor el 25 de mayo del 2016, y será de obligado cumplimiento el 25 de mayo del 2018. A través del planteamiento de una serie de preguntas resolvemos las principales novedades que impondrá la nueva regulación, frente al actual marco regulatorio en España que establece la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (“LOPD”), destacan las siguientes:

  1. ¿Cuándo deben empezar las empresas la adaptación a esta nueva normativa? Aunque el RGPD será aplicable a partir de mayo de 2018, en el periodo de transición es imprescindible preparar y adoptar las medidas necesarias para asegurar el cumplimiento de las previsiones de la nueva normativa en el momento en que sea de aplicación. Para ello las empresas deben realizar un análisis sobre los tratamientos de datos personales que lleven a cabo.
  1. ¿Cuál es el ámbito de aplicación de esta normativa? El RGPD será de obligado cumplimiento para todas las empresas de la UE que realicen un tratamiento de datos de ciudadanos europeos. Pero además hay que tener en cuenta que el RGPD amplía el ámbito de aplicación a aquellas empresas que, aunque estén establecidas fuera de la Unión Europea traten datos de ciudadanos europeos en relación con una oferta de productos o servicios ofrecidos a los mismos o con el análisis de sus comportamientos.
  1. ¿Cuales son los nuevos derechos que introduce el RGPD? El RGPD introduce nuevos derechos para los interesados: derecho a la limitación del tratamiento, derecho a la portabilidad de los datos y el derecho al olvido.
  • Derecho al olvido: El derecho al olvido no es un derecho separado de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), sino la consecuencia del ejercicio de los derechos de cancelación u oposición en el entorno online, que dará lugar al borrado de los datos personales.
  • Derecho a la limitación del tratamiento: Los interesados podrán solicitar que no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían.
  • Derecho a la portabilidad: Este derecho supone que el usuario puede solicitar la recuperación de sus datos al responsable de tratamiento para su posterior transmisión a otra entidad. Los datos se transmitirán directamente de un responsable de tratamiento a otro, sin necesidad de que sean transmitidos previamente al propio interesado, si es técnicamente posible.
  1. ¿En que consisten los cambios en el deber de información? Esta normativa amplía la obligación respecto del deber de informar a los usuarios y exigen a las empresas que toda la información que se facilite a los interesados deberá ser concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Además, esta información deberá proporcionarse en modo expreso, preciso e inequívoco como indica ya la LOPD. El RGPD amplía el contenido de la información que debe proporcionarse. Por ejemplo, habrá que explicar la base jurídica del tratamiento, intención de realizar transferencias internacionales, datos del Delegado de Protección de Datos (en el caso de que se haya nombrado uno), periodo de conservación de los datos, elaboración de perfiles, así como informar sobre el derecho que asiste a los usuarios para dirigir sus reclamaciones a las autoridades de protección de datos si consideran que sus datos se están tratando de forma desproporcionada.
  1. ¿Cambia la forma en la que hay que obtener el consentimiento? Una de las novedades más destacadas de esta normativa consiste en la exigencia de que el consentimiento de los usuarios debe ser libre, informado, especifico e inequívoco. Para que pueda considerarse que existe un consentimiento inequívoco debe prestarse mediante una manifestación del interesado o mediante una clara acción afirmativa. No se admitirán formas de consentimiento tácito o por omisión. Adicionalmente el consentimiento, además de inequívoco, deberá ser explícito en el caso de: tratamiento de datos sensibles, adopción de decisiones automatizadas y transferencias internacionales
  1. ¿A qué edad pueden los menores prestar su consentimiento para el tratamiento de sus datos personales? Respecto al consentimiento de los menores de edad, será lícito prestarlo sin tutores cuando éstos tengan 16 años, aunque el RGPD deja abierta la posibilidad a cada esta miembro de establecer otros límites inferiores siempre que no sean inferiores a los 13 años.
  1. ¿Cuándo debo nombrar un delegado de protección de datos? La nueva figura del Delegado de Protección de Datos (DPO) será obligatoria para aquellas empresas que realicen tratamientos que requieran una observación habitual y sistemática de los interesados a gran escala o cuando se lleve a cabo un tratamiento a gran escala de datos sensibles. Entre las principales funciones del DPO se encuentran asesorar a las empresas y sus trabajadores sobre el cumplimiento normativo y actuar como punto de contacto entre estos y la Agencia de Protección de Datos en caso de consultas o cualquier otro asunto. El DPO podrá pertenecer a la propia empresa o ser externo.
  1. ¿Cuándo deben realizarse evaluaciones de impacto sobre protección de datos? Los responsables del tratamiento deberán realizar una Evaluación de impacto sobre la Protección de Datos antes de iniciar los tratamientos que puedan suponer un alto riesgo para los derechos y libertades de los interesados.
  1. ¿Qué debe hacer una empresa en caso de existencia de una brecha de seguridad? Se exige que las empresas en un plazo máximo de 72 horas notifiquen a la Agencia Española de Protección de Datos cualquier violación de seguridad que suponga un riesgo para los derechos y libertades de los interesados.
  1. ¿Qué consecuencias existen en casi de incumplimiento de esta normativa? El RGPD aplica un régimen sancionador mucho más estricto, aumentando de forma considerable las sanciones. En concreto, el importe de las sanciones podrá llegar a alcanzar los 20 millones de euros o el 4% del volumen de negocios total anual del ejercicio financiero anterior.

JOSE MARÍA BAÑOS. Socio fundador, Letslaw
Síguelo en Linkedin y Twitter

 

BESTSELLERS

OPINIÓNGuest UserBaños, datos, derechos, información, Jose, Jose María Baños, letslaw, María, normativa, protección, reglamento, reglamento general de protección de datos, seguridad