El nuevo Reglamento General de Protección de Datos (RGPD) busca garantizar estándares de protección de datos personales elevados y adaptados a la realidad digital del mundo actual. Este Reglamento que deroga la Directiva 95/46/CE, fue aprobado por el Parlamento Europeo y entró en vigor el 4 de mayo de 2016; sin embargo, el próximo 25 de mayo de 2018 pasará a ser de obligatorio cumplimiento por todos los países miembro. El RGPD es la primera norma de esta naturaleza que se impone por igual a todos los países de la UE, suponiendo unas normas del juego unificadas que todos los países concernientes deben cumplir.
Con la obligatoriedad de esta norma, los usuarios ganan nuevos derechos relacionados con sus datos personales, mientras que la regulación aplicable a las empresas que los tratan o recopilan se endurece. El RGPD se basa en reglas establecidas previamente por medidas de privacidad en la UE, como el ‘Privacy Shield’ o la ‘Data Protection Directive’. A continuación, detallaremos los cambios normativos más importantes:
1.Un mayor control a las empresas que no pertenecen a la Unión Europea.- Hasta ahora, las leyes europeas de protección de datos eran bastante ambiguas en cuanto a los territorios en los que debían aplicarse las normas referentes a la protección de datos personales; sin embargo, el nuevo Reglamento es bastante más claro en esta materia.
La nueva normativa se aplica a todas las empresas que procesan los datos personales de los interesados que residen en la Unión Europea, independientemente de la ubicación de la empresa. Todas las empresas que estén recopilando datos de ciudadanos europeos deben cumplir con la RGPD, siempre que el procesamiento de los datos se haga dentro de la Unión Europea o fuera de ella, indistintamente.
La norma también regirá sobre a las empresas no europeas que procesen datos de ciudadanos europeos que nombren a un representante en la UE. Esto tendrá lugar tanto si ofrecen bienes y servicios (gratuitos o de pago) como si se obtienen datos del comportamiento de los usuarios de Europa.
2.Se debe designar un ´Data Protection Officer´.- El RGPD obligará a muchas empresas a nombrar a un delegado de protección de datos (DPO) para ayudar a supervisar los esfuerzos de su cumplimiento. Esta figura juega un papel determinante, ya que, en caso de incumplir las normas del nuevo Reglamento, las empresas se enfrentan a multas que ascienden a 20 millones de euros o hasta el 4% de la facturación mundial de una entidad.
Cabe señalar que sólo tendrán que contar con un DPO las empresas públicas, las que tengan un tratamiento a gran escala o las que recojan datos especialmente sensibles o relativos a condenas o infracciones penales. Entre las funciones que le serán encomendadas a un delegado de protección de datos se encuentran, entre otras, las siguientes: (i) supervisar la implementación y aplicación de las políticas internas; (ii) realizar formación al personal; (iii)organizar y coordinar auditorías; (iv) gestionar la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos; (v) velar por la seguridad y protección de los documentos que contengan datos personales; (vi) supervisar la realización de la evaluación de impacto del tratamiento de datos personales; y, actuar como punto de contacto para la entidad pública competente en materia de protección de datos personales.
El DPO puede elegirse entre el personal que labora dentro de la organización del responsable de los Datos, o cumplir las tareas a través de un contrato de servicios, por lo que este debe tener cualidades profesionales y contar con conocimiento experto de la legislación y prácticas de protección de datos.
3.Los titulares de los bancos de datos personales deben notificar los incidentes relacionados a la seguridad en la información.- Las empresas estarán obligadas a notificar si hay algún tipo de filtraciónque afecte a los datos personales de los usuarios. Las notificaciones tendrán que emitirse a los usuarios de todos los estados miembros de la UE cuando la violación de datos pueda afectar sus derechos fundamentales.
Estas notificaciones tienen que emitirse en un plazo máximo de 72 horas después de que las empresas detecten la filtración. Además, los encargados del tratamiento también tendrán que notificar a sus clientes, de forma inmediata en el primer momento en el que sean conscientes de que ha habido una filtración de datos. Asimismo, el DPO deberá notificar a la autoridad competente cualquier brecha de seguridad que se haya producido en el plazo de 72 horas contadas desde el acaecimiento.
4.La ´Privacidad desde el Diseño´ es obligatoria.- El ´Privacy by Design´ o ´Privacidad desde el Diseño´ busca que la funcionalidad de las nuevas tecnologías respete la protección de los datos personales de sus usuarios. Esto era algo de lo que muchas empresas hablaban, pero que al final pocas aplicaban Ahora, con la entrada en vigor del nuevo Reglamento, será de obligatoria observancia implementar este concepto, y todos tendrán que cumplir con ella en servicios dentro de la Unión Europea.
En otros términos, lo que viene a enunciar el ´Privacy by Design´ es que se debe abordar la cuestión técnica y tener en cuenta las leyes de privacidad previo al diseño de la aplicaciones o software, no después. Este concepto se basa en medidas proactivas, es decir, previene y anticipa problemas de privacidad antes de que ocurran. Por tanto, no espera a que los riesgos se materialicen. Es por ello que, el RGPD no ofrece tampoco remedios para resolver los problemas una vez que han ocurrido, debido a que su finalidad es prevenir antes de que ocurran.
5.Derecho al olvido.- Los usuarios tienen derecho a solicitar que el responsable del tratamiento de sus datos personales los borre, que deje de compartirlos e incluso que haga que los terceros con los que los ha compartido dejen de procesarlos. Este derecho existe desde la sentencia del Tribunal de Justicia de la Unión Europea, pero ahora pasa a ser parte del Reglamento.
6.Derecho a la portabilidad.– En el nuevo RGPD se prevé la posibilidad de transmitir los datos de un responsable a otro, de forma que el interesado tendrá derecho a que los datos personales se transmitan directamente cuando sea técnicamente posible. Un ejemplo habitual es cuando un particular quiere cambiar de operadora de telecomunicaciones o de compañía de electricidad: la portabilidad permite que los datos personales del particular se transfieran directamente a la nueva compañía escogida, de forma ágil y sencilla para el usuario final. Así, se pretende aumentar la capacidad de los usuarios de trasladar, copiar o transmitir sus datos personales fácilmente de un entorno informático a otro.
7.Principio de responsabilidad proactiva.- Bajo este principio, se exige al responsable del tratamiento que aplique las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. La norma propone como mecanismos efectivos de verificación del cumplimiento la adhesión a códigos de conducta o a mecanismos de certificación. Por tanto, lo que el RGPD exige es que las empresas tengan una actitud consciente, diligente y proactiva con respecto al tratamiento de los datos, pudiendo demostrar, si llegara el caso, las medidas de seguridad aplicadas.
8.Evaluación del impacto del tratamiento de los datos personales.- Otra nueva obligación que establece el Reglamento, y que afecta directamente a la información almacenada por las organizaciones en sus bancos de datos, es la de realizar una evaluación de impacto para las empresas que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas naturales. Se debe evaluar el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.
9.Ampliación del consentimiento informado.- Además de informar a la persona sobre la entidad que utilizará sus datos personales y con qué finalidad (entre otros aspectos), con la nueva reglamentación la entidad deberá informar la base legal para el tratamiento de los datos, el periodo de conservación de éstos, si los cederá a terceros, si elaborará perfiles, sobre la posibilidad de realizar reclamos, e informar sobre los nuevos derechos consagrados en la nueva reglamentación.
10.Se debe renovar el consentimiento.- Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo siempre que la forma en que se dio el consentimiento se ajuste a las condiciones del nuevo Reglamento. En otros términos, si las empresas a las que hemos dado nuestros datos personales los han recogido sin seguir la normativa actual del RGPD, éstas deberán informarnos que están usando nuestros datos personales sin un procedimiento hoy en día válido y que debemos dárselo de nuevo de una forma correcta. Con lo cual, deberemos renovar este consentimiento siguiendo el procedimiento de la nueva norma.
En conclusión, estos cambios en cuanto a la protección de datos reflejan el hecho de que los procesos que pasan a través de las nuevas tecnologías forman parte en la actualidad de nuestro día a día tanto en el plano personal como empresarial. La regulación muestra que las empresas deberán adecuarse a soluciones tecnológicas que incluyan los principios relacionados a la Protección de Datos Personales. Sin embargo, el tiempo determinará si es que esta nueva normativa crea los incentivos necesarios para que las empresas cumplan con sus disposiciones o si es que esta regulación desincentivará el desarrollo y el emprendimiento de nuevas tecnologías en territorio europeo.
