Tabla de contenidos
El Reglamento Europeo de Protección de Datos – Reglamento (UE) 2016/679 – entró en vigor el pasado 25 de mayo de 2016, pero se aplica plenamente desde el 25 de mayo de 2018, con el objetivo de preparar a Europa para la era digital. recomendamos a las empresas que empiecen a aplicar, progresivamente, las medidas y/o mejoras que el propio Reglamento indica, puesto que es beneficioso para todos.
En este post analizamos los detalles más importantes relativos al Reglamento Europeo de Protección de Datos para que todas las empresas cuenten con la información necesaria para facilitar la actividad económica y fortalecer los derechos fundamentales de las personas.
¿Por qué un Reglamento Europeo de Protección de Datos?
Este Reglamento es el resultado de varios años de debate entre los diferentes organismos, instituciones y actores (gobiernos, las autoridades de protección de datos europeas y las empresas) para garantizar los derechos de las personas relativos a sus datos en toda la Unión Europea (UE) y con independencia del lugar donde se realice su tratamiento.
Todos ellos, debido al incesante avance de las nuevas tecnologías en las últimas décadas, han debido regular más en detalle (en virtud de sus competencias) aspectos que se derivan de dicha evolución tecnológica, como son la privacidad y la protección de datos.
Por el mismo motivo apareció en su día la Directiva 95/46/CE, que regulaba algunos de los nuevos casos de uso surgidos debido al impacto de la tecnología en los años 90. Algunos ejemplos: el progresivo tratamiento de datos en soporte informatizado o el crecimiento en las capacidades de almacenamiento de datos.
En la actualidad, la popularización del uso de Internet y las redes sociales, el análisis avanzado de datos o el auge del Internet de las Cosas, entre otros factores, han cambiado totalmente la manera en la que usuarios y empresas se comunican entre ellos, y las formas de comprar y relacionarse ya no tienen nada que ver con las de los años 90.
En consecuencia, con la entrada en vigor del Reglamento Europeo de Protección de Datos se quiso asentar las bases de una normativa de privacidad que se adecúe a la tecnología hoy presente.
Sin embargo, y a nuestro pesar, el desarrollo tecnológico evoluciona mucho más rápido que el desarrollo legislativo.
¿Qué impacto tiene el Reglamento Europeo de Protección de Datos?
La entrada en vigor del reglamento supuso la derogación de la Directiva 95/46/CE, hasta entonces vigente. Si bien es cierto que los Estados, Administraciones Públicas y empresas contaron con un periodo de adaptación y adecuación a este hasta el 25 de mayo de 2018, fecha en la que la derogación tuvo pleno efecto.
En España, la Ley de Protección de Datos personales y Garantía de Derechos Digitales (LOPDGDD) entró en vigor el 6 de diciembre de 2018, sustituyendo a la antigua Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, con el objetivo de adaptar la legislación española a la normativa europea definida por el RGPD.
Se debe tener en cuenta que este Reglamento es de aplicación no sólo a las empresas o profesionales responsables o encargados del tratamiento de datos, y con domicilio social en Europa, que presten servicios a ciudadanos europeos, sino que se amplía a empresas o profesionales con domicilio social fuera de la UE, y que realicen tratamiento de datos como consecuencia de su oferta de bienes o servicios destinados a ciudadanos europeos.
Dos ejemplos claros de empresas a las que aplica el nuevo Reglamento son:
- Amazon (vende y entrega a domicilio productos en Europa, entre otros servicios)
- Google Analytics (ofrece servicios de monitorización o análisis del comportamiento de usuarios en páginas web).
Ambas empresas residen fuera del espacio de la Unión Europea.
Características Reglamento Europeo de Protección de Datos
Las claves de este Reglamento se centran en el análisis de impacto de privacidad, en el deber de información, el consentimiento, la transparencia, la seguridad y en el hecho de que se deben garantizar los derechos de los ciudadanos en relación con la protección de su privacidad.
1. Análisis de impacto de la privacidad
A este tipo de análisis también se le llama análisis de la Privacidad por Diseño (Privacy by Design) o Privacidad por Defecto (Privacy by Default).
Su objetivo es analizar el impacto que supone en el tratamiento de datos cualquier proyecto llevado a cabo por parte de empresas, profesionales o emprendedores.
Por ejemplo, si tenemos un proyecto de desarrollo de una aplicación móvil o de una plataforma online para la venta de productos u oferta de servicios, debería procederse a efectuar el análisis de la Privacidad por Diseño que implicaría, entre muchas otras cosas, que deberíamos preguntarnos lo siguiente:
- ¿Cómo vamos a recabar los datos del usuario o cliente?
- ¿Cómo se le debe informar al cliente del tratamiento de sus datos?
- ¿Cómo se va almacenar la información?
- ¿Es pertinente la información que recogemos sobre él o es excesiva?.
Y todo ello en aras de tomar las medidas preventivas adecuadas para proteger al usuario frente a los abusos en los tratamientos de sus datos, y evitar así que las empresas que efectúan el tratamiento de los mismos infrinjan la normativa.
2. Deber de información
Si hasta 2016 se exigía información sobre quién se encuentra detrás de todo tratamiento de datos y qué tratamiento se iba a hacer de los mismos, con este Reglamento Europeo de Protección de Datos se debe detallar la información de la forma más precisa posible.
Por ejemplo, de cara a las personas físicas, deben quedar muy claros los siguientes aspectos (entre otros):
- La identidad del responsable de la gestión y, si procede, del delegado de protección de datos.
- La identidad de los destinatarios o categorías de destinatarios de los datos personales.
- Los fines del tratamiento a que se destinan los datos personales y el fundamento jurídico para dicho tratamiento.
- La medida en que los datos van a ser tratados.
- El plazo durante el que se conservarán los datos personales y, cuando ello no sea posible, los criterios que se utilizarán por el responsable para determinar dicho plazo.
También remarcar que los avisos legales, condiciones de contratación y políticas de privacidad de páginas web, tiendas online o aplicaciones deben ser lo más claras y sencillas posible, utilizando un lenguaje que sea fácil de entender para todo tipo de usuario.
Éstos son sólo algunos de los aspectos informativos necesarios para cumplir con el GDPR.
3. El consentimiento
Como era previsible, el consentimiento ha cobrado especial relevancia desde la entrada en vigor de este Reglamento.
Si en la Directiva anterior ya se requería que el consentimiento fuese, con carácter general, libre, informado, específico e inequívoco, con el GDPR es imprescindible que se produzca una declaración del interesado –o bien una acción positiva– que otorgue su conformidad para poder considerar que dicho consentimiento es “inequívoco”.
En la actualidad, se debe poder probarse que se ha otorgado el consentimiento, por lo que las empresas o plataformas online deberán dotarse de sistemas que así lo puedan garantizar.
En los casos de tratamiento de datos sensibles, como los datos biométricos, además, no sólo se exigirá una acción positiva implícita sino que la acción deberá ser expresa.
El tratamiento de datos de menores en el Reglamento Europeo de Protección de Datos
Respecto al tratamiento de datos de menores en el GDPR, se dispone de una regla homogénea que establece que la edad en la que los menores pueden prestar por sí mismos su propio consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales o aplicaciones móviles) es de 16 años.
Sin embargo, esa edad se puede rebajar y cada Estado miembro puede establecer la suya propia, fijando un límite no inferior en ningún caso a los 13 años.
Por ejemplo, el límite en España se dispuso en los 14 años. Si se es menor a esa edad, es necesario que padres o tutores den su consentimiento a la empresa u organización que quiera tratar los datos personales del menor.
4. La transparencia
Como se indicaba en el segundo apartado, debe facilitarse información clara y fácilmente inteligible a la hora de efectuar un tratamiento de datos.
Para ser lo más transparentes posible debe facilitarse el ejercicio de derechos por parte de los usuarios: no sólo los derechos de acceso, rectificación, cancelación u oposición, sino también los derechos de reclamación o queja, así como el archiconocido derecho al olvido.
5. La seguridad
Se requiere que las empresas y organizaciones tengan una actitud proactiva en el establecimiento de medidas de seguridad destinadas a garantizar que la infraestructura de la empresa asegura un correcto tratamiento y almacenamiento de los datos de sus clientes o usuarios.
Las principales medidas que se deben adoptar son:
- Establecer accesos seguros al sistema de la empresa y/o a sus bases de datos.
- Establecer procedimientos de copias de seguridad suficientes.
- Tomar medidas especiales para evitar fugas de datos, instalación de malware o evitar o prevenir que otros riesgos relacionados ocurran, como ataques por parte de crackers, denegaciones de servicio, daño a los sistemas informáticos, etc.
También se exige una actitud proactiva por parte de las empresas en cuanto a su deber de comunicar este tipo de incidentes a las autoridades competentes y a los usuarios afectados cuando se ponga en riesgo su privacidad o intimidad.
Del mismo modo, se establece la obligación de disponer de un delegado de protección de datos cuando:
- «el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
- las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
- las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10”.
– Sección 4, Delegado de protección de datos – Artículo 37. Designación del delegado de protección de datos.
Conclusión
El objetivo del Reglamento Europeo de Protección de Datos es proteger y velar por un correcto tratamiento de datos de los usuarios, permitiendo la libre circulación de datos de ciudadanos en la Unión Europea, siempre que se traten de acuerdo con las claves aquí contempladas.
Este post fue publicado originalmente el 04/01/2018.
Este es un post invitado de Vanesa Alarcón Caparrós.
Vanesa es abogada especializada en nuevas tecnologías y propiedad intelectual, y socia fundadora de AVATIC Abogacía Digital.
@vanesa_alarcon
@AvaticAbogados