nuevo reglamento de protección de datos para la ue nrpd v7 innoit.pdf · plazos para el ejercicio...

Marina Brocca

Pablo Borrás

En este documento se ha pretendido sintetizar los aspectos fundamentales del nuevo marco legal

europeo en materia de protección de datos. Todos los derechos reservados.

Nuevo reglamento de protección de datos para la UE

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27

de abril de 2016


• • •

Nace el nuevo reglamento de protección de datos para la UE � 1

Contenido

Nace el nuevo reglamento de protección de datos para la UE ................................................... 2

Principios fundamentales del nuevo reglamento de protección de datos ................................. 4

Privacidad por diseño y defecto ..................................................................................................... 4

Transparencia y licitud en el tratamiento de datos personales .................................................. 5

Características Fundamentales del Nuevo Reglamento Europeo ................................................ 7

La necesidad de “consentimiento claro y afirmativo” ................................................................ 7

Seguridad en la red y de la información obtenida ...................................................................... 8

Información sobre tiempo de conservación de datos. ............................................................... 9

Ejercicios de derecho más claros y accesibles. ............................................................................ 9

Plazos para el ejercicio de derechos .............................................................................................. 9

Derecho al olvido ............................................................................................................................. 10

Derecho a la portabilidad de los datos ....................................................................................... 11

Supresión de la Obligación de Notificar ficheros ........................................................................ 11

Datos personales y mercadotecnia ............................................................................................. 11

Menores de edad ............................................................................................................................ 12

Comunicación e información a las autoridades ............................................................................ 12

Riesgo elevado en la evaluación de impacto ............................................................................ 12

Brechas de seguridad ..................................................................................................................... 12

Comunicación de brechas de seguridad a los afectados ....................................................... 13

Autoridad de control única de protección de datos en el nuevo reglamento europeo de

Protección de Datos ........................................................................................................................ 13

Colaboradores encargados de tratamiento .................................................................................. 14

Responsabilidad en la elección .................................................................................................... 14

Corresponsables del tratamiento .................................................................................................. 15

Régimen sancionador ......................................................................................................................... 15

Posibilidad de interponer denuncias a través de asociaciones ............................................... 16

Posibilidad de exigir indemnizaciones .......................................................................................... 16

La necesidad de un Delegado de Protección de Datos ............................................................. 16

Transferencias a terceros países ........................................................................................................ 17

Certificación de cumplimiento .......................................................................................................... 18

Bibliografía ............................................................................................................................................ 19


• • •


Nuevo reglamento de protección de datos para la UE Reglamento (UE) 2016/679 del Parlamento

Europeo y del Consejo, de 27 de abril de 2016

Nace el nuevo reglamento de protección de datos para la UE

El Parlamento Europeo ha aprobado el 14 de abril del 2016, el

nuevo reglamento de Protección de Datos. Esta nueva

normativa será de aplicación a todos los estados miembros. Ha

entrado en vigor el 25 de mayo de 2016.

El nuevo reglamento tiene 2 objetivos principales:

1. Garantizar un nivel equivalente de protección de las

personas físicas en la UE.

2. La libre circulación de datos personales en la Unión

Europea.

El Reglamento supone un mayor compromiso de las

organizaciones, públicas o privadas, con la protección de datos.

Este nuevo reglamento será de aplicación directa en todos los

estados miembros y pretende fundamentalmente, devolver a

los ciudadanos el control de sus datos personales y garantizar

unos elevados estándares de protección, confianza y seguridad

jurídica uniformes en toda la UE.

¿Se sigue aplicando la Ley Orgánica de Protección de Datos

española? Sí. El Reglamento ha entrado en vigor el 25 de mayo de 2016

pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de

2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales

que la trasponen, entre ellas la española, siguen siendo plenamente válidas y

aplicables

Principales Obligaciones del nuevo reglamento europeo de protección de datos

Consentimiento Válido y

Demostrable

• • •

Ya no se permitirá el

consentimiento tácito, este a su

vez debe ser claro y afirmativo.

Los términos y condiciones

deberán ser cambiados con un

lenguaje más sencillo y

amigable. Las empresas tendrán

que acreditar el consentimiento

y este debe ser revocable en

cualquier momento.


• • •


¿Para qué un nuevo reglamento de protección de

datos?

Los fundamentos para la existencia de un nuevo reglamento de

protección de datos se basan principalmente en la rápida

evolución tecnológica y en la globalización.

Estos avances han planteado nuevos retos para la protección

de los datos personales.

Hemos de ser conscientes de la magnitud de la recogida y del

intercambio de datos personales, que ha aumentado de

manera significativa.

La tecnología permite que tanto las empresas privadas como

las autoridades públicas utilicen datos personales en una

escala sin precedentes a la hora de realizar sus actividades.

Por otra parte, las personas físicas difunden un volumen cada

vez mayor de información personal a escala mundial.

La tecnología ha transformado tanto la economía como la vida

social, y ha de facilitar aún más la libre circulación de datos

personales dentro de la Unión y la transferencia a terceros

países y organizaciones internacionales, garantizando al

mismo tiempo un elevado nivel de protección de los datos

personales.

Estos avances requieren un marco más sólido y coherente para

la protección de datos en la Unión Europea, dada la

importancia de generar la confianza que permita a la economía

digital desarrollarse en todo el mercado interior.

En este contexto, nace y se explica el nuevo reglamento de

Protección de Datos.

Mayor control sobre nuestra propia información

personal

El nuevo reglamento de protección de datos impulsa un mayor control por parte de las personas

sobre sus propios datos personales. Para ello, es necesario reforzar la seguridad jurídica y práctica

para las personas físicas, los operadores económicos y las autoridades públicas.

Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los

obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los

derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos

debe ser equivalente en todos los Estados miembros.


Delegado en Protección de

Datos

• • •

Las empresas deberán contratar

a la figura del delegado, bien de

manera interna o externa. El

Reglamento no especifica el

perfil concreto del Delegado,

pero si indica que debe tener

una formación adecuada,

dejando en manos de la

empresa encontrar la persona

idónea. El Delegado deberá

tener conocimientos en Derecho

y en materia de protección de

datos. La empresa deberá

aportarle todas las herramientas

necesarias para el desempeño

de sus funciones.


• • •

Principios fundamentales del nuevo reglamento de protección de datos � 4

Este reglamento también ofrece más claridad a las empresas,

con una norma única para toda la UE que refuerza la confianza

y la seguridad jurídica, también impulsa la competencia justa.

Principios fundamentales del nuevo reglamento de protección de datos

Privacidad por diseño y defecto

Es uno de los requisitos más interesantes en el nuevo

reglamento de protección de datos.

Exige que el responsable lleve a cabo, antes del tratamiento,

una evaluación de impacto relativa a la protección de datos.

Esta evaluación debe valorar la particular gravedad y

probabilidad del alto riesgo, teniendo en cuenta la naturaleza,

ámbito, contexto y fines del tratamiento y los orígenes del

riesgo.

El responsable del tratamiento debe adoptar políticas internas y

aplicar medidas que cumplan en particular los principios de

protección de datos desde el diseño y por defecto.

Dichas medidas podrían consistir, entre otras en:

• Reducir al máximo el tratamiento de datos personales.

• Seudonimizar lo antes posible los datos personales.

• Dar transparencia a las funciones y el tratamiento de datos personales.

• Permitir a los interesados supervisar el tratamiento de datos.

• Crear y mejorar elementos de seguridad.

En el nuevo reglamento de protección de datos se prevé la

posibilidad de proporcionar directrices para la aplicación de

medidas oportunas y para demostrar el cumplimiento por parte

del responsable o del encargado del tratamiento, especialmente con respecto a la identificación del

riesgo relacionado con el tratamiento.


Registro de las Actividades de

Tratamiento

• • •

Cada responsable de

tratamiento, llevará un registro

de las actividades de

tratamiento efectuadas bajo su

responsabilidad. Dicho registro

deberá contener toda la

información indicada en el Art.

30 del RGPD. Los encargados de

tratamiento tienen obligaciones

parecidas. El registro estará por

escrito y en formato digital, a

disposición de la autoridad de

control que lo solicite.

¿Cómo aplicaríamos este principio de privacidad desde el diseño? En el diseño de

aplicaciones que traten datos personales, se tiene que garantizar la privacidad de los mismos

desde el principio y no a posteriori. Por ejemplo, en materia de redes sociales, los perfiles de

privacidad de los usuarios estarán cerrados por defecto a otros usuarios, debiendo ser el

usuario quien los abra a otros.


• • •


Aquí aparece uno de los aspectos más relevantes del

Reglamento: la prevención por parte de las organizaciones que

tratan datos. Es lo que se conoce como responsabilidad activa.

Las empresas deben adoptar medidas que aseguren

razonablemente que están en condiciones de cumplir con los

principios, derechos y garantías que el Reglamento establece.

El Reglamento entiende que actuar sólo cuando ya se ha

producido una infracción es insuficiente como estrategia, dado

que esa infracción puede causar daños a los interesados que

pueden ser muy difíciles de compensar o reparar.

El reglamento tiene como principio la máxima de que es

preferible prevenir que curar. Para trabajar en la prevención se

precisa un buen diagnóstico y realizar una evaluación de

impacto.

La evaluación de impacto tendrá en cuenta aspectos como:

• El origen, naturaleza, probabilidad y gravedad y a la identificación de buenas prácticas para mitigar el riesgo.

• La forma de códigos de conducta aprobados, certificaciones aprobadas, directrices dadas por el Comité o indicaciones proporcionadas por un delegado de protección de datos.

• Los riesgos que se derivan del tratamiento de los datos personales por parte de terceros encargados de tratamiento por cuenta del responsable.

Se debe tener en cuenta especialmente el derecho a la

protección de datos cuando se desarrollan y diseñen productos,

servicios y aplicaciones. Estos deben asegurarse de que los

responsables y los encargados del tratamiento están en

condiciones de cumplir sus obligaciones en materia de

protección de datos.

Transparencia y licitud en el tratamiento de datos personales

En esto no hay gran una gran transformación respecto a la LOPD pero sin duda se refuerza. El

nuevo reglamento de protección de datos señala que todo tratamiento de datos personales debe ser

lícito y leal.

Para las personas físicas deben quedar totalmente claros los siguientes puntos a la hora de requerir

o consultar su información:

• Que sus datos personales se están recogiendo, utilizando o consultando.

• La medida en que dichos datos son o serán tratados.

• De las posibles consecuencias de no facilitar tales datos.


Comunicación con la

Autoridad de Control

• • •

Será obligatorio comunicar a la

Autoridad de Control de

Protección de Datos, los fallos de

seguridad en un plazo máximo

de 72 horas por parte del

responsable de tratamiento.

Para ello, la empresa deberá

contar con un sistema efectivo

tanto para realizar el reporte a la

AGPD como para comunicar el

fallo a los afectados si existe

algún riesgo para sus derechos.


• • •


• Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.

• La identidad de los destinatarios o las categorías de destinatarios de los datos personales.

• La identidad del responsable de la gestión y si procede, del delegado de protección de datos.

• El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo (esto si es una novedad)

• La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales que haya facilitado, su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.

• La posibilidad de ejercitar el derecho a presentar una reclamación ante una autoridad de control.

• La existencia de decisiones automatizas, incluida la elaboración de perfiles, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

• La intención del responsable de transferir sus datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión.

El principio de transparencia exige que toda información y

comunicación relativa al tratamiento de dichos datos sea

fácilmente accesible y fácil de entender, y que se utilice un

lenguaje sencillo y claro.

Cuando los datos personales no se hayan obtenidos del

interesado, el responsable del tratamiento le facilitará la

siguiente información:

• La identidad y los datos de contacto del responsable y, en su caso, de su representante;

• Los datos de contacto del delegado de protección de datos, si lo hubiere,

• Los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;

• Las categorías de datos personales de que se trate;

• Los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

• De la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión

• De las transferencias posibles de datos en referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o al hecho de que se hayan prestado.

El nuevo reglamento de protección de datos exige la “Minimización de datos”, es decir, que sean

adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.


Evaluación de Impacto

• • •

Cuando sea probable que un

tipo de tratamiento, en particular

si utiliza nuevas tecnologías, por

su naturaleza, alcance, contexto

o fines, entrañe un alto riesgo

para los derechos y libertades de

las personas físicas, el

responsable del tratamiento

estará obligado a realizar, antes

del tratamiento, una evaluación

del impacto sobre los riesgos que

contrae dicho tratamiento.


• • •

Características Fundamentales del Nuevo Reglamento Europeo � 7

Deben ser exactos y, si fuera necesario, actualizados; se exige

la adopción de todas las medidas razonables para que se

supriman o rectifiquen sin dilación los datos personales que

sean inexactos con respecto a los fines para los que se tratan.

En este punto también se exige mayor claridad en las

cláusulas informativas de los servicios digitales y en las

políticas de privacidad, en particular a la información de los

interesados sobre la identidad del responsable del tratamiento y

los fines del mismo y a la información añadida para garantizar

un tratamiento leal y transparente con respecto a las personas

físicas afectadas y a su derecho a obtener confirmación y

comunicación de los datos personales que les conciernan que

sean objeto de tratamiento.

Esto debes recordarlo especialmente en tanto tengas una web,

porque se insiste en la necesidad de ofrecer máxima

transparencia al usuario.

El nuevo reglamento de protección de datos exige lenguaje

claro y comprensible sobre las cláusulas de privacidad. Esta

información podría facilitarse en forma electrónica, por ejemplo,

cuando esté dirigida al público, mediante un sitio web, igual que

ocurre con la actual Ley de Servicios de la Sociedad de la

Información y Comercio Electrónico (LSSI-CE).

Ello es especialmente pertinente en situaciones en las que la

proliferación de agentes y la complejidad tecnológica de la

práctica hagan que sea difícil para el interesado saber y

comprender si se están recogiendo, por quién y con qué

finalidad, datos personales que le conciernen, como es en el

caso de la publicidad en línea.

Características Fundamentales del Nuevo Reglamento Europeo

La necesidad de “consentimiento claro y afirmativo”

En el nuevo reglamento de protección de datos, se refuerza la necesidad del consentimiento de la

persona concernida al tratamiento de sus datos personales, algo que ya recoge la actual LOPD,

pero que el nuevo reglamento europeo subraya.

No vale por tanto el consentimiento por defecto: el silencio, las casillas ya marcadas o la inacción no

deben constituir consentimiento. .


Consulta previa

• • •

El responsable de tratamiento

estará obligado a consultar a la

autoridad de control antes de

proceder al tratamiento cuando

dicho tratamiento entrañase un

alto riesgo. Sobre todo si el

responsable no ha identificado o

mitigado suficientemente el

riesgo.


• • •


El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de

voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos

de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios

electrónicos, o una declaración verbal.

El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o

los mismos fines

Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para

la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta

que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de

sus datos personales.

Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas

que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa

dejarán de serlo cuando el nuevo Reglamento sea de aplicación.

También se insiste en la necesidad de poder acreditar el consentimiento: “Cuando el tratamiento se

lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de

demostrar que aquel ha dado su consentimiento a la operación de tratamiento”

Seguridad en la red y de la información obtenida

En este punto, en el nuevo reglamento de Protección de Datos se recoge la necesidad de diligencia

relativa a la capacidad de prevenir y minimizar riesgos derivados del tratamiento de la información.

En el nuevo reglamento de protección de datos, se explica que: “Constituye un interés legítimo del

responsable del tratamiento en la medida estrictamente necesaria y proporcionada para garantizar la

seguridad de la red y de la información”

Es decir la capacidad de una red o de un sistema información de “resistir a acontecimientos

accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad,

integridad y confidencialidad de los datos personales conservados o transmitidos”

El responsable por tanto, debería ser capaz de impedir el acceso no autorizado a las redes de

comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de

«denegación de servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas.

¿A qué empresas u organizaciones se aplica el nuevo Reglamento? El Reglamento

se aplicará como hasta ahora a responsables o encargados de tratamiento de datos

(autónomos, profesionales independientes, empresas, asociaciones, etc.) establecidos en la

Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre

que realicen tratamientos derivados de una oferta de bienes o servicios destinados a

ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su

comportamiento.


• • •


Información sobre tiempo de conservación de datos.

Una novedad en el nuevo reglamento de protección de datos es la necesidad de informar sobre el

tiempo de conservación de datos por parte del responsable del tratamiento.

Se debe garantizar que el tratamiento se limite a un mínimo estricto el plazo de conservación de

datos personales.

Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable

del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas

las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean

inexactos.

Ejercicios de derecho más claros y accesibles.

Aquí tampoco se producen grandes novedades en el nuevo reglamento de protección de datos.

Se especifica que los interesados deben tener derecho a acceder a los datos personales recogidos

que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de

conocer y verificar la licitud del tratamiento.

Al igual que la actual LOPD, deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus

derechos, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en

particular, el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del

derecho de oposición.

En el caso de tener una web, blog o tienda virtual, como responsable del tratamiento, también se

debe proporcionar medios para que las solicitudes se presenten por medios electrónicos, en

particular cuando los datos personales se tratan por estos medios.

Plazos para el ejercicio de derechos

En la LOPD, el plazo para permitir el ejercicio de derechos era de 10 días, en el nuevo reglamento

de protección de datos, el plazo es de un mes a partir de la recepción de la solicitud.

Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la

complejidad y el número de solicitudes. El responsable deberá informar al interesado de cualquiera

¿Qué ocurre con los Derechos ARCO? Los derechos ARCO (Acceso, Rectificación,

Cancelación y Oposición) tal y como los conocemos evolucionan y aumentan. El nuevo

Reglamento se refiere ahora a los derechos de Transparencia (art. 12), Información (arts. 13 a

14), Acceso (art. 15), Rectificación (Art. 16), Supresión o derecho al olvido (art. 17), Limitación

del tratamiento (art. 18), Portabilidad de datos (art. 20) y Oposición (art. 21).


• • •


de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los

motivos de la dilación.

Otra novedad interesante, es que, cuando las solicitudes sean manifiestamente infundadas o

excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:

• Cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información, la comunicación o realizar la actuación solicitada.

• Negarse a actuar respecto de la solicitud.

El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente

infundado o excesivo de la solicitud.

Derecho al olvido

Era una de las novedades que presentaba el borrador del nuevo reglamento de protección de datos,

ya reconocido por el Tribunal de Justicia de la UE, que permitirá bajo determinadas condiciones la

supresión de datos personales e información.

Los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse si

ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, si los

interesados han retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos

personales que les conciernen.

Por tanto, cuando nos demos de baja en un servicio podremos solicitar el borrado definitivo de

nuestros datos personales, excepto que exista alguna otra normativa que lo impida. También

podremos solicitar a una página de Internet que elimine totalmente los datos que aparecen en su

web sobre nuestra persona.

A fin de reforzar el «derecho al olvido» en el entorno en línea, el derecho de supresión en el nuevo

reglamento de protección de datos, debe ampliarse de tal forma que el responsable del tratamiento

que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento

que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas

de tales datos.

¿Qué implica para los ciudadanos que el Reglamento amplíe el ámbito de

aplicación territorial? Ello permite que el Reglamento sea aplicable a empresas que, hasta

ahora, podían estar tratando datos de personas en la UE y, sin embargo, se regían por

normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección

que la normativa europea.


• • •


Para esto, el responsable debe tomar medidas razonables, teniendo en cuenta la tecnología y los

medios a su disposición, incluidas las medidas técnicas, para informar de la solicitud del interesado

a los responsables que estén tratando los datos personales.

Derecho a la portabilidad de los datos

Cualquier persona tendrá derecho a recibir los datos personales que le incumban, que haya

facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura

mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al

que se los hubiera facilitado, eso es muy práctico en el caso de cambio de compañías de servicio y

nos ahorraría tener que facilitar todos nuestros datos personales nuevamente.

Como titulares, tendremos el derecho a que nuestros datos personales se transmitan directamente

de responsable a responsable cuando sea técnicamente posible.

Supresión de la Obligación de Notificar ficheros

Esta era otra de las novedades que aportaba el borrador del nuevo reglamento de protección de

datos.

La Directiva 95/46/CE había establecido la obligación general de notificar el tratamiento de datos

personales a las autoridades de control, sin embargo, esta obligación no contribuyó en todos los

casos a mejorar la protección de los datos personales.

Por tanto, en el nuevo reglamento de protección de datos, estas obligaciones generales de

notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces

que se centren, en su lugar, en los tipos de operaciones de tratamiento que entrañen probablemente

un alto riesgo para los derechos y libertades de las personas físicas.

Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de

nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado

previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias

visto el tiempo transcurrido desde el tratamiento inicial.

Datos personales y mercadotecnia

Si los datos personales son tratados con fines de mercadotecnia directa, el interesado debe tener

derecho a oponerse a dicho tratamiento, inclusive a la elaboración de perfiles en la medida en que

esté relacionada con dicha mercadotecnia directa, ya sea con respecto a un tratamiento inicial o

ulterior, y ello en cualquier momento y sin coste alguno. Dicho derecho debe comunicarse

explícitamente al interesado y presentarse claramente y al margen de cualquier otra información.

¿Qué nuevas herramientas de control de sus datos poseen los ciudadanos? El

Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la

portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los

datos personales que confían a terceros.


• • •

Comunicación e información a las autoridades � 12

Menores de edad

El tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo

16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el

consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la

medida en que se dio o autorizó.

Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no

sea inferior a 13 años.

El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el

consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño,

teniendo en cuenta la tecnología disponible.

Comunicación e información a las autoridades

Riesgo elevado en la evaluación de impacto

En el nuevo reglamento de Protección de Datos, debes consultar a la autoridad de control antes de

iniciar las actividades de tratamiento si una evaluación de impacto relativa a la protección de datos

muestra que, en ausencia de garantías, medidas de seguridad y mecanismos destinados a mitigar

los riesgos, el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas

físicas, y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios

razonables en cuanto a tecnología disponible y costes de aplicación.

Brechas de seguridad

Esta es una de grandes novedades que introduce el nuevo reglamento de protección de datos.

Hasta ahora no era obligatorio informar a las autoridades cuando se producía una brecha, pero el

nuevo reglamento indica que debe notificarse de la siguiente manera:

“Tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una

violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de

ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la

violación de la seguridad de los datos personales a la autoridad de control competente”.

¿Qué implica la responsabilidad activa recogida en el Reglamento? Uno de los

aspectos esenciales del Reglamento es que se basa en la prevención por parte de las

organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas

deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con

los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que

actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que

esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar

o reparar.


• • •

Comunicación e información a las autoridades � 13

Esto puede evitarse, en los casos donde el responsable pueda demostrar, atendiendo al principio de

responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos

personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Dicha

notificación puede resultar en una intervención de la autoridad de control de conformidad con las

funciones y poderes que establece el presente Reglamento.

Comunicación de brechas de seguridad a los afectados

En el nuevo reglamento de Protección de Datos no basta con informar solo a las autoridades,

también se requiere comunicar al interesado sin dilación indebida la violación de la seguridad de los

datos personales en caso de que puede entrañar un alto riesgo para sus derechos y libertades, y

permitirle tomar las precauciones necesarias.

La comunicación debe describir la naturaleza de la violación de la seguridad de los datos personales

y las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos

resultantes de la violación.

En el nuevo reglamento europeo de Protección de Datos, las comunicaciones sobre violaciones de

seguridad a los interesados deben realizarse tan pronto como sea razonablemente posible y en

estrecha cooperación con la autoridad de control, siguiendo sus orientaciones o las de otras

autoridades competentes, como las autoridades policiales.

Autoridad de control única de protección de datos en el nuevo reglamento europeo de Protección de Datos

El nuevo reglamento de protección de datos comprende la creación de un Consejo Europeo de

Protección de Datos. Este Consejo estará formado por los representantes de cada una de las 28

autoridades de control independientes y sustituirá al actual Comité del artículo 29.

Es importante destacar como novedad, que todo interesado tendrá derecho a presentar una

reclamación ante una autoridad de control única, en particular en el Estado miembro de su

residencia habitual, y derecho a la tutela judicial efectiva de conformidad con el artículo 47 de la

Carta si considera que se vulneran sus derechos o en caso de que la autoridad de control no

responda a una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe

cuando sea necesario para proteger los derechos del interesado. La investigación a raíz de una

reclamación debe llevarse a cabo, bajo control judicial, si procede en el caso concreto.

¿En qué consiste el sistema de ‘ventanilla única’? Este sistema está pensado para que

los responsables establecidos en varios Estados miembros o que, estando en un solo Estado

miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la

UE tengan una única Autoridad de protección de datos como interlocutora.


• • •

Colaboradores encargados de tratamiento � 14

Para garantizar la supervisión y ejecución coherentes de

nuevo reglamento, las autoridades de control deben tener en

todos los Estados miembros las mismas funciones y poderes

efectivos, incluidos poderes de investigación, poderes

correctivos y sancionadores, y poderes de autorización y

consultivos.

En el nuevo reglamento de protección de datos se exige que

todas las autoridades de control deben estar dotadas de los

recursos financieros y humanos.

Las condiciones generales aplicables al miembro o los

miembros de la autoridad de control deben establecerse por

ley en cada Estado miembro y disponer, en particular, que

dichos miembros han de ser nombrados, por un procedimiento

transparente, por el Parlamento, el Gobierno o el jefe de

Estado del Estado miembro.

Colaboradores encargados de tratamiento

Responsabilidad en la elección

Para garantizar el cumplimiento de las disposiciones en el

nuevo reglamento de protección de datos respecto del

tratamiento que lleve a cabo el encargado por cuenta del

responsable, este debe recurrir únicamente a encargados que

ofrezcan suficientes garantías.

Por tanto, en el nuevo reglamento de Protección de Datos se

exige máxima diligencia en la elección de colaboradores con

acceso a datos.

Deberás contratar solo aquellos que puedan acreditar

conocimientos especializados, fiabilidad y recursos, de cara a

la aplicación de medidas técnicas y organizativas que cumplan

los requisitos del presente Reglamento, incluida la seguridad

del tratamiento.

La valoración y acreditación de estos colaboradores debe

incluirse en el informe de impacto y el desarrollo del programa

de privacidad por diseño.

Ventajas que ofrece el nuevo reglamento europeo de protección de datos

Homogeneidad

Permitirá más armonización y

unidad en la aplicación y

garantía de los derechos de los

ciudadanos europeos en materia

de privacidad y protección de

datos. Ello facilitará que las

autoridades locales, policiales y

judiciales cooperen mejor entre

ellas y sus acciones sean más

rápidas y efectivas

Enfoque preventivo

Su enfoque da un giro,

dirigiéndose más hacia la

prevención y no tanto hacia un

enfoque curativo como el actual.

Se dirige más hacia la privacidad

desde el diseño o privacidad por

defecto. Configurando

evaluaciones de impacto que

impidan detectar los errores y

estableciendo códigos de

conducta. Y lo más importante,

aparece la figura del Delegado

de Protección de Datos.


• • •

Régimen sancionador � 15

Corresponsables del tratamiento

En el nuevo reglamento de protección de datos se establece

la figura del “corresponsable”. Este señala que cuando dos o

más responsables determinen conjuntamente los objetivos y

los medios del tratamiento, serán considerados

corresponsables del tratamiento.

Los corresponsables determinarán de modo transparente y de

mutuo acuerdo sus responsabilidades respectivas en el

cumplimiento de las obligaciones impuestas por el presente

Reglamento, en particular en cuanto al ejercicio de los

derechos del interesado y a sus respectivas obligaciones de

suministro de información.

Régimen sancionador

En el nuevo reglamento de protección de datos se modifica

sustancialmente el régimen sancionador de la actual LOPD.

Dispone sanciones muy severas contra los responsables o

encargados del tratamiento que infrinjan las normas de

protección de datos, imponiendo multas de hasta 20 millones

de euros o el 4% de su volumen de negocios total anual.

Las autoridades de protección de datos nacionales serán las

que impongan estas sanciones administrativas.

Si las sanciones administrativas se imponen a personas que

no son una empresa, la autoridad de control debe tener en

cuenta al valorar la cuantía apropiada de la sanción el nivel

general de ingresos prevaleciente en el Estado miembro así

como la situación económica de la persona.

Recordemos que en la LOPD, la cuantía de las sanciones, obedecían solo a la tipificación de la

sanción y no contemplaba la situación económica del sancionado.

¿Seguirán las mismas cuantías de sanciones? No, el nuevo reglamento impondrá

sanciones muy elevadas por incumplir sus obligaciones. Las violaciones graves tendrán

multas de hasta 10 millones de euros o el 2% de la facturación mundial. Las muy graves

hasta 20 millones o el 4% de la facturación total.


Nuevos derechos

El derecho al olvido permitirá

bajo determinadas condiciones

la supresión de datos personales

e información. Por tanto, cuando

nos demos de baja en un servicio

podremos solicitar el borrado

definitivo de nuestros datos

personales, excepto que exista

alguna otra normativa que lo

impida.

El derecho a la portabilidad de

los datos. Cualquier persona

tendrá derecho a recibir los datos

personales que le incumban, que

haya facilitado a un responsable

del tratamiento, en un formato

estructurado, de uso común y

lectura mecánica, y a

transmitirlos a otro responsable

del tratamiento sin que lo impida

el anterior responsable.


• • •

La necesidad de un Delegado de Protección de Datos � 16

Posibilidad de interponer denuncias a través de asociaciones

He aquí otra gran novedad del nuevo reglamento de

protección de datos que propone la posibilidad de que el

interesado que considere vulnerados los derechos, pueda

conferir mandato a una entidad, organización o asociación

sin ánimo de lucro para que presente en su nombre una

reclamación ante la autoridad de control, ejerza el derecho a

la tutela judicial en nombre de los interesados.

Posibilidad de exigir indemnizaciones

El nuevo reglamento de protección de datos contempla que

el responsable o el encargado del tratamiento, deba

indemnizar cualesquiera daños y perjuicios que pueda sufrir

una persona como consecuencia de un tratamiento en

infracción del Reglamento.

Recordemos que en la LOPD, no se preveía indemnización

alguna para los damnificados, solo sanción para los

responsables.

Pero también señala que el responsable o el encargado

deben quedar exentos de responsabilidad si se demuestra

que en modo alguno no son responsables de los daños y

perjuicios.

La necesidad de un Delegado de Protección de Datos

En el nuevo reglamento de protección de datos aparece la

obligación de contratar un Delegado de Protección de Datos

(DPO) y por tanto, se abre un campo profesional muy

interesante para todos los especialistas en protección de

datos.

Se prevé la necesidad de contar con la ayuda de una

persona con conocimientos especializados del Derecho y la

práctica en materia de protección de datos.

En el sector privado sería obligatorio contar con un delegado

de protección de datos si:

• Las actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados.


Homologación de entidades

certificadoras

Se permitirá la creación de

organismos de certificación

oficial en materia de protección

de datos, que permitiría acreditar

el cumplimiento normativo.

Se propone el establecimiento de

mecanismos de certificación,

sellos y marcas de protección de

datos, que permitan a los

interesados evaluar con mayor

rapidez el nivel de protección de

datos de los productos y servicios

correspondientes.

Reducción burocrática

No será obligatorio para las

entidades que inscriban sus

ficheros en la AEPD,

desapareciendo por tanto la

Subdirección general de registro

de ficheros.

Por otro lado, la Comisión

Europea, mediante las cláusulas

tipo, hará más sencillo exportar

datos a terceros países.


• • •

Transferencias a terceros países � 17

• Si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

El nivel de conocimientos especializados necesario se debe

determinar, en particular, en función de las operaciones de

tratamiento de datos que se lleven a cabo y de la protección

exigida para los datos personales tratados por el responsable

o el encargado.

Estos delegados de protección de datos, sean o no

empleados del responsable del tratamiento, deben estar en

condiciones de desempeñar sus funciones y cometidos de

manera independiente.

Con la incorporación del delegado de protección de datos, se

pretende dar una mayor fuerza a la figura del Responsable

de Seguridad, que es la persona que actualmente se debe

asignar en las organizaciones para velar por el correcto

cumplimiento de la LOPD.

Transferencias a terceros países

El nuevo reglamento de protección de datos también abarca

la transferencia de datos personales a terceros países u

organizaciones internacionales.

Por tanto, si los datos personales se transfieren de la Unión Europea a responsables, encargados u

otros destinatarios en terceros países o a organizaciones internacionales, esto no debe menoscabar

el nivel de protección de las personas físicas garantizado en la Unión Europea por el nuevo

reglamento de protección de datos, ni siquiera en las transferencias ulteriores de datos personales

desde el tercer país u organización internacional a responsables y encargados en el mismo u otro

tercer país u organización internacional.

Con este fin, encomienda a la Comisión la evaluación del nivel de protección que ofrece un territorio

o un sector de tratamiento en un tercer país.

Cuando la Comisión no haya adoptado una decisión de adecuación sobre un territorio o sector, la

transferencia de datos personales se puede seguir realizando en casos especiales o cuando existan

garantías apropiadas (cláusulas tipo de protección de datos, normas corporativas vinculantes,

cláusulas contractuales).

Por tanto, en ausencia de una decisión por la que se constate la adecuación de la protección de los

datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta

de protección de datos en un tercer país mediante garantías adecuadas para el interesado.


Supervisión

Existirá mayor control a través de

las autoridades nacionales. Estas

tendrán la competencia de

autorizar previamente los flujos de

datos antes de que estos se

produzcan y no solo después de

que se produzcan vulneraciones

de la normativa, siendo más

preventiva su actuación.


• • •

Certificación de cumplimiento � 18

Certificación de cumplimiento

El Nuevo Reglamento permitirá la creación de organismos de certificación oficial en materia de

protección de datos, algo que no existe en la actual LOPD y que permitiría acreditar el cumplimiento

normativo.

Se propone el establecimiento de mecanismos de certificación, sellos y marcas de protección de

datos, que permitan a los interesados evaluar con mayor rapidez el nivel de protección de datos de

los productos y servicios correspondientes.


• • •

Bibliografía � 19

Bibliografía

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de

la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Ley 2/2011, de 4 de marzo, de Economía Sostenible

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico

nuevo reglamento de protección de datos para la ue nrpd v7 innoit.pdf · plazos para el ejercicio...

Documents