En mayo de 2018, el RGPD, el nuevo reglamento de Protección de Datos, se hizo de cumplimiento obligado y si por esos casuales, gestionas datos personales, de forma online u offline, te afecta.
Aquí encontrarás una guía sencilla y práctica con todo lo que debes saber sobre el RGPD, escrita para gente como tu, que necesita que le hablen en cristiano desde una perspectiva práctica.
Si te da pereza leer, en este vídeo te cuento muchas de estas novedades.
Nace el nuevo reglamento de protección de datos para la UE
El Parlamento Europeo ha aprobado el 14 de abril del 2016, el nuevo reglamento de Protección de Datos.
Esta nueva normativa será de aplicación a todos los estados miembros. Ha entrado en vigor el 25 de mayo de 2016.
Una vez entre en vigor, no será aplicable hasta pasados 2 años, sobre mayo de 2018 posiblemente.
El nuevo reglamento tiene 2 objetivos principales:
- Garantizar un nivel equivalente de protección de las personas físicas en la UE.
- La libre circulación de datos personales en la Unión Europea.
El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos.
Este nuevo reglamento será de aplicación directa en todos los estados miembros y pretende fundamentalmente, devolver a los ciudadanos el control de sus datos personales y garantizar unos elevados estándares de protección, confianza y seguridad jurídica uniformes en toda la UE.
¿Por qué un nuevo reglamento de protección de datos?
Los fundamentos para la existencia de un nuevo reglamento de protección de datos se basan principalmente en rápida evolución tecnológica y la globalización.
Estos avances han planteado nuevos retos para la protección de los datos personales.
Hemos de ser conscientes de la magnitud de la recogida y del intercambio de datos personales, que ha aumentado de manera significativa.
La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades.
Por otra parte, las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial.
La tecnología ha transformado tanto la economía como la vida social, y ha de facilitar aún más la libre circulación de datos personales dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales.
Estos avances requieren un marco más sólido y coherente para la protección de datos en la Unión Europea, dada la importancia de generar la confianza que permita a la economía digital desarrollarse en todo el mercado interior.
En este contexto, nace y se explica el nuevo reglamento de Protección de Datos.
Mayor control sobre nuestra propia información personal
El nuevo reglamento de protección de datos impulsa un mayor control por parte de las personas sobre sus propios datos personales. Para ello, es necesario reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas.
Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros.
Este reglamento también ofrece más claridad a las empresas, con una norma única para toda la UE que refuerza la confianza y la seguridad jurídica, también impulsa la competencia justa.
Principios fundamentales del nuevo reglamento de protección de datos
Tras leer integralmente el nuevo reglamento europeo de Protección de Datos (una tarea titánica) he preparado un resumen con los puntos que, a mi juicio, son los más relevantes y novedosos.
Se que no es fácil condensar todo un reglamento en un post, pero me esmerado al máximo en ofrecerte una perspectiva clara y completa de las principales novedades del nuevo reglamento de Protección de Datos.
Privacidad por diseño y defecto
Es uno de los requisitos más interesantes en el nuevo reglamento de protección de datos.
Exige que el responsable lleve a cabo, antes del tratamiento, una evaluación de impacto relativa a la protección de datos. Esta evaluación debe valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo.
El responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto.
Dichas medidas podrían consistir, entre otras en:
- Reducir al máximo el tratamiento de datos personales.
- Seudonimizar lo antes posible los datos personales.
- Dar transparencia a las funciones y el tratamiento de datos personales.
- Permitir a los interesados supervisar el tratamiento de datos.
- Crear y mejorar elementos de seguridad.
En nuevo reglamento de protección de datos se prevé la posibilidad de proporcionar directrices para la aplicación de medidas oportunas y para demostrar el cumplimiento por parte del responsable o del encargado del tratamiento, especialmente con respecto a la identificación del riesgo relacionado con el tratamiento.
Aquí aparece uno de los aspectos más relevantes del Reglamento: la prevención por parte de las organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa.
Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece.
El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar.
El reglamento tiene como principio la máxima de que es preferible prevenir que curar.
Para trabajar en la prevención se precisa un buen diagnóstico y realizar una evaluación de impacto.
La evaluación de impacto tendrá en cuenta aspectos como:
- El origen, naturaleza, probabilidad y gravedad y a la identificación de buenas prácticas para mitigar el riesgo.
- La forma de códigos de conducta aprobados, certificaciones aprobadas, directrices dadas por el Comité o indicaciones proporcionadas por un delegado de protección de datos.
- Los riesgos que se derivan del tratamiento de los datos personales por parte de terceros encargados de tratamiento por cuenta del responsable.
Se debe tener en cuenta especialmente el derecho a la protección de datos cuando se desarrollan y diseñen productos, servicios y aplicaciones. Estos deben asegurarse de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos.
Transparencia y licitud en el tratamiento de datos personales
En esto no hay gran una gran transformación respecto a la LOPD pero sin duda se refuerza.
El nuevo reglamento de protección de datos señala que todo tratamiento de datos personales debe ser lícito y leal.
Para las personas físicas deben quedar totalmente claros los siguientes puntos a la hora de requerir o consultar su información:
- Que sus datos personales se están recogiendo, utilizando o consultando.
- La medida en que dichos datos son o serán tratados.
- De las posibles consecuencias de no facilitar tales datos.
- Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
- La identidad de los destinatarios o las categorías de destinatarios de los datos personales.
- La identidad del responsable de la gestión y si procede, del delegado de protección de datos.
- El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo (esto si es una novedad)
- La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales que haya facilitado, su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
- La posibilidad de ejercitar el derecho a presentar una reclamación ante una autoridad de control.
- La existencia de decisiones automatizas, incluida la elaboración de perfiles, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
- La intención del responsable de transferir sus datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión.
El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro.
Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la siguiente información:
- La identidad y los datos de contacto del responsable y, en su caso, de su representante;
- Los datos de contacto del delegado de protección de datos, si lo hubiere,
- Los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;
- Las categorías de datos personales de que se trate;
- Los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
- De la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión
- De las transferencias posibles de datos en referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o al hecho de que se hayan prestado.
El nuevo reglamento de protección de datos exige la “Minimización de datos”, es decir, que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Debe ser exactos y, si fuera necesario, actualizados; se exige la adopción de todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
En este punto también se exige mayor claridad en las cláusulas informativas de los servicios digitales y en las políticas de privacidad, en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento.
Esto debes recordarlo especialmente en tanto tengas una web, porque se insiste en la necesidad de ofrecer máxima transparencia al usuario.
El nuevo reglamento de protección de datos exige lenguaje claro y comprensible sobre las cláusulas de privacidad. Esta información podría facilitarse en forma electrónica, por ejemplo, cuando esté dirigida al público, mediante un sitio web, igual que ocurre con la actual LSSI-CE.
Ello es especialmente pertinente en situaciones en las que la proliferación de agentes y la complejidad tecnológica de la práctica hagan que sea difícil para el interesado saber y comprender si se están recogiendo, por quién y con qué finalidad, datos personales que le conciernen, como es en el caso de la publicidad en línea.
La necesidad de “consentimiento claro y afirmativo”
En el nuevo reglamento de protección de datos, se refuerza la necesidad del consentimiento de la persona concernida al tratamiento de sus datos personales, algo que ya recoge la actual LOPD, pero que el actual reglamento subraya.
No vale por tanto el consentimiento por defecto: el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. .
El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal.
El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines
Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales.
Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.
También se insiste en la necesidad de poder acreditar el consentimiento: “Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento”
Seguridad en la red y de la información obtenida
En este punto, en el nuevo reglamento de Protección de Datos se recoge la necesidad de diligencia de la que tanto hablo en este blog relativa a la capacidad de prevenir y minimizar riesgos derivados del tratamiento de la información.
En el nuevo reglamento de protección de datos, se explica que: «Constituye un interés legítimo del responsable del tratamiento en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información»
Es decir la capacidad de una red o de un sistema información de «resistir a acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos»
El responsable por tanto, debería ser capaz de impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de «denegación de servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas.
Información sobre tiempo de conservación de datos
Una novedad en el nuevo reglamento de protección de datos es la necesidad de informar sobre el tiempo de conservación de datos por parte del responsable del tratamiento.
Se debe garantizar que el tratamiento se límite a un mínimo estricto el plazo de conservación de datos personales.
Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos.
Ejercicios de derecho mas claros y accesibles
Aquí tampoco se producen grandes novedades en el nuevo reglamento de protección de datos.
Se especifica que los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento.
Al igual que la actual LOPD, deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición.
Atento si tienes una web, porque como responsable del tratamiento, también debes proporcionar medios para que las solicitudes se presenten por medios electrónicos, en particular cuando los datos personales se tratan por medios electrónicos.
Plazos para el ejercicio de derechos
En la LOPD, el plazo para permitir el ejercicio de derechos era de 10 días, en el nuevo reglamento de protección de datos, el plazo es de un mes a partir de la recepción de la solicitud.
Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable deberá informar al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.
Otra novedad:
Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:
- Cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o
- Negarse a actuar respecto de la solicitud.
El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.
Derecho al olvido
Era una de las novedades que presentaba el borrador del nuevo reglamento de protección de datos, ya reconocido por el Tribunal de Justicia de la UE, que permitirá bajo determinadas condiciones la supresión de datos personales e información.
Hace tiempo que se habla de este derecho, en este blog lo abordó uno de los mayores expertos en este tema, Ramón Rey.
Los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, si los interesados han retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen.
Por tanto, cuando nos demos de baja en un servicio podremos solicitar el borrado definitivo de nuestros datos personales, excepto que exista alguna otra normativa que lo impida, también podremos solicitar a una página de Internet que elimine totalmente los datos que aparecen en su web sobre nuestra persona.
A fin de reforzar el «derecho al olvido» en el entorno en línea, el derecho de supresión en el nuevo reglamento de protección de datos, debe ampliarse de tal forma que el responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos.
Para esto, el responsable debe tomar medidas razonables, teniendo en cuenta la tecnología y los medios a su disposición, incluidas las medidas técnicas, para informar de la solicitud del interesado a los responsables que estén tratando los datos personales.
Derecho a la portabilidad de los datos
Esta es una novedad súper interesante.
Cualquier persona tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, eso es muy práctico en el caso de cambio de compañías de servicio y nos ahorraría el que tener que facilitar todos nuestros datos personales nuevamente.
Como titulares, tendremos el derecho a que nuestros datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
Supresión de la Obligación de Notificar ficheros
Esta era otra de las novedades que aportaba el borrador del nuevo reglamento de protección de datos.
La Directiva 95/46/CE había establecido la obligación general de notificar el tratamiento de datos personales a las autoridades de control, sin embargo, esta obligación no contribuyó en todos los casos a mejorar la protección de los datos personales.
A mi modo de ver, en muchos casos fue hasta contraproducente, dado que la notificación creaba la falsa creencia de cumplimiento y muchas empresas se limitaron a realizar un simple trámite, sin mejorar en nada sus medidas de seguridad.
Por tanto, en el nuevo reglamento de protección de datos, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas.
Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial.
Datos personales y mercadotecnia
Otra novedad en nuevo reglamento de protección de datos: Si los datos personales son tratados con fines de mercadotecnia directa, el interesado debe tener derecho a oponerse a dicho tratamiento, inclusive a la elaboración de perfiles en la medida en que esté relacionada con dicha mercadotecnia directa, ya sea con respecto a un tratamiento inicial o ulterior, y ello en cualquier momento y sin coste alguno. Dicho derecho debe comunicarse explícitamente al interesado y presentarse claramente y al margen de cualquier otra información.
Menores de edad
Aquí se produce otra novedad en el nuevo reglamento de protección de datos en relación con la oferta directa a niños de servicios de la sociedad de la información.
El tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.
Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.
El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.
Necesidad de información a las autoridades cuando la evaluación de impacto indique riesgo elevado
En el nuevo reglamento de Protección de Datos, debes consultar a la autoridad de control antes de iniciar las actividades de tratamiento si una evaluación de impacto relativa a la protección de datos muestra que, en ausencia de garantías, medidas de seguridad y mecanismos destinados a mitigar los riesgos, el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas físicas, y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación.
Comunicación de brechas de seguridad a las autoridades
Esta es una de grandes novedades que introduce el nuevo reglamento de protección de datos.
Hasta ahora no era obligatorio informar a las autoridad cuando se producía una brecha, pero el nuevo reglamento indica que debe notificarse de la siguiente manera:
«Tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente».
Esto puede evitar en casos en donde el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Dicha notificación puede resultar en una intervención de la autoridad de control de conformidad con las funciones y poderes que establece el presente Reglamento.
Comunicación de brechas de seguridad a los afectados
En el nuevo reglamento de Protección de Datos no basta con informar solo a las autoridades, también se requiere comunicar al interesado sin dilación indebida la violación de la seguridad de los datos personales en caso de que puede entrañar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias.
La comunicación debe describir la naturaleza de la violación de la seguridad de los datos personales y las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos resultantes de la violación.
En el nuevo reglamento europeo de Protección de Datos, las comunicaciones sobre violaciones de seguridad a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperación con la autoridad de control, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridades policiales.
Autoridad de control única de protección de datos en el nuevo reglamento europeo de Protección de Datos
El nuevo reglamento de protección de datos comprende la creación de un Consejo Europeo de Protección de Datos. Este Consejo estará formado por los representantes de cada una de las 28 autoridades de control independientes y sustituirá al actual Comité del artículo 29.
Es importante destacar como novedad, que todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control única, en particular en el Estado miembro de su residencia habitual, y derecho a la tutela judicial efectiva de conformidad con el artículo 47 de la Carta si considera que se vulneran sus derechos o en caso de que la autoridad de control no responda a una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando sea necesario para proteger los derechos del interesado. La investigación a raíz de una reclamación debe llevarse a cabo, bajo control judicial, si procede en el caso concreto.
Para garantizar la supervisión y ejecución coherentes de nuevo reglamento, las autoridades de control deben tener en todos los Estados miembros las mismas funciones y poderes efectivos, incluidos poderes de investigación, poderes correctivos y sancionadores, y poderes de autorización y consultivos.
En el nuevo reglamento de protección de datos se exige que todas las autoridades de control deben estar dotadas de los recursos financieros y humanos. ¿Estaremos a la altura?
Las condiciones generales aplicables al miembro o los miembros de la autoridad de control deben establecerse por ley en cada Estado miembro y disponer, en particular, que dichos miembros han de ser nombrados, por un procedimiento transparente, por el Parlamento, el Gobierno o el jefe de Estado del Estado miembro.
Responsabilidad en la elección de colaboradores encargados de tratamiento
Yo he escrito mucho sobre la responsabilidad en la elección de nuestros colaboradores y en la necesidad de colaborar sis riesgos.
Para garantizar el cumplimiento de las disposiciones del en el nuevo reglamento de protección de datos respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este debe recurrir únicamente a encargados que ofrezcan suficientes garantías.
Por tanto, en el nuevo reglamento de Protección de Datos se exige máxima diligencia en la elección de colaboradores con acceso a datos.
Deberás contratar solo aquellos que puedan acreditar conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento.
La valoración y acreditación de estos colaboradores debe incluirse en el informe de impacto y el desarrollo del programa de privacidad por diseño.
Corresponsables del tratamiento
En el nuevo reglamento de protección de datos se establece la figura del “corresponsable”. Este señala que cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento, serán considerados corresponsables del tratamiento.
Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información.
Régimen sancionador
En el nuevo reglamento de protección de datos se modifica de sustancialmente el régimen sancionador de la actual LOPD. Dispone sanciones muy severas contra los responsables o encargados del tratamiento que infrinjan las normas de protección de datos, imponiendo multas de hasta 20 millones de euros o el 4% de su volumen de negocios total anual.
Las autoridades de protección de datos nacionales serán las que impongan estas sanciones administrativas.
Si las sanciones administrativas se imponen a personas que no son una empresa, la autoridad de control debe tener en cuenta al valorar la cuantía apropiada de la sanción el nivel general de ingresos prevaleciente en el Estado miembro así como la situación económica de la persona.
Recordemos que la LOPD la cuantía de las sanciones obedecían solo a la tipificación de la sanción y no contemplaba la situación económica del sancionado.
Posibilidad de interponer denuncias a través de asociaciones
He aquí otra gran novedad del nuevo reglamento de protección de datos que propone la posibilidad de que el interesado que considere vulnerados los derechos, pueda conferir mandato a una entidad, organización o asociación sin ánimo de lucro para que presente en su nombre una reclamación ante la autoridad de control, ejerza el derecho a la tutela judicial en nombre de los interesados.
Posibilidad de exigir indemnizaciones
El nuevo reglamento de protección de datos contempla que el responsable o el encargado del tratamiento, deba indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción del Reglamento.
Veremos cómo repercute esta nueva posibilidad en el incremento de las denuncias que en la LOPD, no preveían indemnización para los damnificados, solo sanción para los responsables.
Pero también señala que el responsable o el encargado deben quedar exentos de responsabilidad si se demuestra que en modo alguno son responsables de los daños y perjuicios.
La necesidad de un Delegado de Protección de Datos
En el nuevo reglamento de protección de datos aparece la obligación de contratar un Delegado de Protección de Datos (DPO) y por tanto, se abre un campo profesional muy interesante para todos los especialistas en protección de datos.
Se prevé la necesidad de contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos.
En el sector privado sería obligatorio contar con un delegado de protección de datos si:
- Las actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados.
- Si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
El nivel de conocimientos especializados necesario se debe determinar, en particular, en función de las operaciones de tratamiento de datos que se lleven a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado.
Estos delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.
Con la incorporación del delegado de protección de datos, se pretende dar una mayor fuerza a la figura del Responsable de Seguridad, que es la persona que actualmente se debe asignar en las organizaciones para velar por el correcto cumplimiento de la LOPD.
Transferencias a terceros países
El nuevo reglamento de protección de datos también abarca la transferencia de datos personales a terceros países u organizaciones internacionales.
Habrá que ver que pasa con Privacy Shield, pero de momento, esto es lo que cuentan.
Por tanto, si los datos personales se transfieren de la Unión Europea a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de protección de las personas físicas garantizado en la Unión Europea por el nuevo reglamento de protección de datos, ni siquiera en las transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados en el mismo u otro tercer país u organización internacional
Con este fin, encomienda a la Comisión la evaluación del nivel de protección que ofrece un territorio o un sector de tratamiento en un tercer país.
Cuando la Comisión no haya adoptado una decisión de adecuación sobre un territorio o sector, la transferencia de datos personales se puede seguir realizando en casos especiales o cuando existan garantías apropiadas (cláusulas tipo de protección de datos, normas corporativas vinculantes, cláusulas contractuales).
Por tanto, en ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado.
Certificación de cumplimiento
Otra novedad que no se sabe cómo se ejecutará, consiste en la creación de organismos de certificación oficial en materia de protección de datos, algo que no existe en la actual LOPD y que permitiría acreditar el cumplimiento normativo.
El nuevo reglamento de protección de datos se propone el establecimiento de mecanismos de certificación y sellos y marcas de protección de datos, que permitan a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios correspondientes.
Creo que esta certificación será imprescindible para acabar con las pseudo empresas de LOPD a que yo denomino también FastLOPD y que han propiciado prácticas y creencias erróneas que es preciso desterrar, no obstante, me preocupa la aparición de otras practicas especulativas ligadas a la certificación. Todo dependerá de como se gestione y regule su acreditación.
¿Llegaste hasta el final? ¡No me lo creo!
Espero que te sea de utilidad y que puedas preguntar todo lo que quieras, haré lo posible por responder siempre que crea que puedo ayudarte.
Abajo te dejo el documento completo con nuevo reglamento de Protección de Datos para que te lo puedas descargar.
nuevo reglamento europeo
¿Cómo puedes cumplir con todos estos requisitos?
Afortunadamente, existe una solución eficaz, completa y económica de cumplir con todos y cada uno de estos requisitos y la tienes justo delante de tus narices.
Hoja de ruta para cumplir con el reglamento europeo
Esta es la hoja de ruta muy concreta con los enlaces a todos los recursos y herramientas que te ayudarán a completar la adecuación de tu blog de forma rigurosa y completa.
Vamos a analizarlas siguiendo el esquema que propone la AEPD (Agencia española de protección de datos)
Designación del DELEGADO DE PROTECCIÓN DE DATOS (DPD)
En caso de no ser necesario designar un DPD, identificar a los responsables de COORDINAR LA ADAPTACIÓN, en el caso de un blog profesional, lo lógico es que seas
tú mismo.
Elaborar un registro de actividades de tratamiento
Es básicamente una descripción de los tratamientos que llevas a cabo en tu blog, por ejemplo, de usuarios, clientes, afiliados, etc. y que deberás poner a disposición de la
autoridad de control, en España la AEPD.
Facilita RGPD es la herramienta diseñada por la propia AEPD para ayudarte a resolver este requisito y está orientada a empresas o profesionales que tratan datos personales
de escaso riesgo, como es el caso de un blog.
Realizar un ANÁLISIS DE RIESGOS
Dentro de las propias herramientas que nos brinda la AEPD, tienes la posibilidad de realizar un análisis de riesgo básico mediante la herramienta Gestiona EIPD que te
permite determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de seguridad más adecuadas para reducir el mismo hasta un
nivel considerado aceptable.
Revisar e implantar las MEDIDAS DE SEGURIDAD en tu blog
En función a los resultados del análisis de riesgos tanto para garantizar la integridad, confidencialidad y disponibilidad de los datos como para salvaguardar los derechos y
libertades de las personas que se relacionan con tu blog, entre ellas, integrar certificados SSL (tener https), copias de seguridad, antivirus, etc.
Establecer mecanismos y procedimientos necesarios para realizar la NOTIFICACIÓN DE QUIEBRAS DE SEGURIDAD
En el caso de un blog o una web, sufrir una brecha de seguridad no sería nadadisparatado, no son pocas las plataformas que han sufrido brechas en dónde se vieron
comprometidos datos de usuarios, como correos electrónicos, nombres o incluso, contraseñas. En caso de que te ocurriera, deberás notificar esa brecha sin dilación a la
AEPD y a los afectados si procediera. Para eso, necesitas un procedimiento de notificación claro y ágil y o utilizar el sistema telemático de notificación de brechas
aportado por la AEPD.
A partir de los resultados del análisis de riesgos, realizar, en su caso, una EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS)
Debes tener en cuenta que un blog es un sistema de tratamiento de información personal, pero normalmente, de carácter básico, por lo que es bastante improbable
que necesites realizar un informe de impacto.
¿Y las cookies con el RGPD?
Pues después de muchas idas y venidas, que scroll si que scroll no, la última versión de la agencia indica tres cosas básicas:
- La aceptación por scroll, ya no es válida (si bien ya había dudas sobre ello, en todo caso si sigues navegando o haces scroll en la web, no se acepta). Solo se considera válida la aceptación con un botón de aceptar.
- Hay que disponer de un botón para rechazar las cookies y que el usuario pueda seguir navegando.
- La AEPD ha dado de margen hasta el 31 de octubre de 2020 para adaptar los cambios
¿Que opinas del nuevo reglamento de protección de datos?
Si tienes más dudas, siempre puedes consultar la Guía que ha preparado la agencia con 12 preguntas sobre el nuevo reglamento.
¿Quieres cumplir con el RGPD en tu web?
Tengo todo lo necesario para que puedas adaptar tu web de forma sencilla
34 comentarios
Gracias Marina, otra evangelizadora…. buen trabajo.
Gracias Jose Luis por tu valoración. Un abrazo
Gracias, Marina! Excelente resumen, facilitándonos la vida… jejeje 😉
El documento que adjuntas es de 2012, ¿es correcto? ¿no hay un borrador más reciente?
¿Se sabe cuándo publicarán la versión oficial? ¿en qué dirección podremos descargarlo? ¿dónde se publica? supongo que algo similar a nuestro BOE…
Muchas gracias otra vez!
Alfonso
Ay! acabo de ver que es de este mes de abril… olvida mi comentario, Marina, a excepción de mi gratitud por el trabajo que has realizado y que nos ha facilitado la compresión… Saludos!
Me pegué un susto de los buenos pensando que había anexado mal el documento! Lo estaba comprobando cuendo vi este segundo documento, es del 6 de abril, muy fresquito.
Gracias por pasarte a comentar y me alegra que te haya sido útil el resumen, un abrazo
Buen resumen y muy útil . Gracias!.
Muchas gracias Marta por pasarte a comentar, me alegra mucho que te haya sido de utilidad, no era otra la intención.
Un fuerte abrazo
Fantástico trabajo! Muchas gracias por el resumen.
Muchas gracias Mónica, espero que este post solo sirva para iniciar un debate sobre las modificaciones que propone, me encantaría que pudiéramos debatirlas abiertamente. Espero que te animes a ser la que abra el debate 😉
Un fuerte abrazo
Buen resumen y muy útil!!!!! gracias Marina
Muchas gracias a ti Teresa por pasarte por aquí, igual que al resto, os animo a debatir sobre «la que se nos avecina» con esta reforma.
Un aberazp
Felicidades Marina por el artículo. Ya pasados 11 días, yo me pregunto si nuestra queria AEPD no piensa decir nada al respecto. Cuanto añoro a la «difunta» Agencia Madrileña de Protección de Datos y los eventos que programaba para debatir sobre estos y otros temas. Un abrazo
Hola Rafa, fíjate que yo he estado todos estos días cotilleando a ver si se pronunciaban en algún momento, pero de momento nada, supongo que es un análisis para realizar con calma. Seguiremos esperando.
Un abrazo!
Hola Marina,
lo primero que quiero es agradecerte el artículo. Es bastante completo al igual que el de http://www.ciudadano2cero.com/reglamento-proteccion-de-datos-email-marketing-sin-spam/
Pero en este último hablabas de que la nueva legislación de abril «Ha entrado en vigor el 25 de mayo de 2016 y será de obligado cumplimiento en un par de años» ¿Esto quiere decir que hasta dentro de 2 años las empresas pueden ir adaptándose? En mi empresa usamos Mailchimp como herramienta de email marketing, y aunque el 95% de los contactos actuales lo son por haber tenido relación comercial con nosotros, hay algunos que han venido por otras vías. Por eso quería saber cómo está el tema con el Safe Harbour. Queremos hacer las cosas bien, y si no lo hacemos en algún punto es por desconocimiento. Por eso te pido esta pequeña ayuda/aclaración, porque lo cierto es que esto es un poco lío.
Hola Merche, gracias por pasarte por aquí. Respecto a tu pregunta, es tal como lo indicas, hasta dentro de 2 años no será perceptiva, esto es, de obligado cumplimiento, por tanto, las empresas tienen casi dos años para efectuar la adecuación a estas nuevas exigencias.
Respecto a Mail Chimp, recuerda que ya hay un nuevo acuerdo que regula la transferencia internacional de datos, es Privacy Shield, por tanto, no sería el mayor de los problemas, lo que si es importante es poder acreditar la licitud de los datos recogidos, por la carga de la prueba será vuestra en caso de que algún miembro decida reclamar.
Espero serte de ayuda, si tienes cualquier otra duda, estoy a tu entera disposición.
Un fuerte abrazo
Gracias Marina, un post aclarador, aunque espero que la AEPD durante este periodo publique alguna guía en este sentido. Sería un detalle 😉
Sobre las transferencias internacionales, entiendo que empresas como mailchimp deberán adherirse al privacy shield, ¿opinas lo mismo? Saludos.
Hola Jaume, sin duda lo harán, está en juego su negocio, al fin de cuentas, se trata de un cambio en el acuerdo de adhesión, si antes se adherían a safe Harbor, ahora estarán corriendo para adherirse a Privacy Shield, lo contrario es perder cuota de mercado y eso no se lo van a permitir.
Un fuerte abrazo
Hola Marina,
Tu artículo me está ayudando mucho, pero tengo una duda que no logro despejar. Si una web solo usa cookies propias, y, además, son cookies cuyo cometido es estrictamente permitir el funcionamiento de la web, como por ejemplo lo es PHPSESSID, o la misma que empleamos para dejar de mostrar el aviso tras Aceptar o Rechazar las cookies, ¿Necesitamos también el consentimiento expreso del usuario antes de su instalación?
Gracias!
Hola Jose, hay cookies que están exentas del deber de informar y requerir el consentimiento, como:
– Cookies estrictamente necesarias para prestar un servicio expresamente solicitado por el usuario
– Cookies necesarias únicamente para permitir la comunicación entre el equipo del usuario y la red
Por tanto, las que comentas, no requieren este tipo de adaptación.
Gracias por comentar.
Un abrazo
Hola Marina, Estoy intentado buscar una buena consultoria lopd. He buscado miles de empresas y he encontrado la de Acoran.es ¿Qué te parece?
Hola Miriam, prefiero que me pidas presupuesto o pedirme mi opinión sobre la competencia, en este caso, ni siquiera les conozco, pero acabo de ver su web y lo primero que veo que es que carga cookies analíticas sin que el usuario las haya aceptado, algo que incumple la actual normativa y las directrices de la agencia, no sé cómo puede ayudarte a cumplir una empresa que no cumple.
Un abrazo
Buen artículo. ¿Que plugin usas en tu web para las cookies?. Gracias!
Es un desarrollo a medida.
Un abrazo
Hola Marina, me gustaría saber qué pluging recomiendas para el popup de cookies? Gracias
Hola, si buscas unos gratuito para WordPress, GDPR cookie Compliance, si es en otro entorno, Cookie boot, pero es de pago.
Un abrazo
Hola Marina, muchas gracias por tu sugerencia. He optado por Complianz y está muy bien, bastante intuitivo. Ahora solo me falta adaptar mi pack de plantillas e-commerce que compré de tus diferentes paquetes. Sobre eso quería consultarte: En caso de aun no haberme dado de alta como autónomo, en los apartados de los datos de empresa qué debería indicar? Y, quería saber, una vez finalizada la adaptación de las plantillas, ¿ofreces alguna auditoria para comprobar que todo esté en cumplimiento de la normativa? de ser así, ¿es una tarifa estándar o hay que pedir presupuesto?. Gracias!
Hola Marian,
Me alegra saber que el plugin te ha ayudado, respecto a los kits, decirte que si eres autónomo, debes indicar nombre y apellidos y DNI.
Sobre los servicios adicionales, indicarte que si ofrezco un servicio de revisión completa que incluye informe de auditoria con medidas correctivas y explicaciones de como subsanarlas, el precio siempre depende del tipo de web y de los elementos a auditar, para solicitarlo, sólo tienes que utilizar el formulario de contacto e indicarme el dominio a auditar.
Un fuerte abrazo y gracias por tu compra