GDPR: información para facilitar el cumplimiento del Reglamento Europeo de Protección de Datos 

El 25 de mayo de 2018 el nuevo Reglamento Europeo de Protección de Datos (GDPR) – Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo – será de total aplicación en los países miembros de la Unión Europea y, por ende, en España.

En la actualidad se está trabajando en el borrador de anteproyecto de ley, que modificará la Ley hoy vigente – Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos. No obstante, hasta la fecha no se ha avanzado ninguna información al respecto.

Lo que sí se sabe es que la Agencia Española de Protección de Datos (AEPD), en colaboración con otros organismos e instituciones, está llevando a cabo algunas actuaciones para potenciar el cumplimiento normativo del referido Reglamento, y también está desarrollando algunas directrices que matizan algunos aspectos del mismo.

En este post hacemos un resumen de las actuaciones que consideramos más relevantes.

Guías para facilitar el cumplimiento del nuevo Reglamento Europeo de Protección de Datos (GDPR)

 

Guías publicadas en España

Se han emitido una serie de guías destinadas a facilitar a las empresas la comprensión y cumplimiento normativo del Reglamento.

1. Guía del Reglamento de Protección de Datos para el responsable del tratamiento

2. Guía para el cumplimiento del deber de informar

   Estas dos guías se han elaborado en colaboración con las autoridades de Cataluña y País Vasco y resultan de gran utilidad para estar al día respecto a las últimas novedades de esta normativa.

3. Código de buenas prácticas en protección de datos para proyectos de Big Data

¿Qué destacar de estos materiales?

1. De la guía para el cumplimiento del deber de informar destaca que, en aras de cumplir con el deber informativo que requiere el nuevo Reglamento, se recomienda a las empresas facilitar la información al usuario en el momento de recabar sus datos, haciéndolo en dos capas sucesivas: en una primera capa se debe informar sucintamente de la información esencial que se considere que el usuario debe conocer, para remitir a una segunda capa donde el usuario pueda encontrar el detalle específico acerca de las finalidades del tratamiento, medidas de seguridad y otros aspectos que el usuario deba conocer en virtud de lo dispuesto en la normativa.

2. De la guía sobre el responsable del tratamiento lo más notable es el hecho de que el responsable deba aplicar una serie de medidas técnicas y organizativas para garantizar y demostrar que el tratamiento se realiza de conformidad con el Reglamento. Es el principio de responsabilidad proactiva, esto es, al responable le compete asumir esa responsabilidad de querer cumplir con la normativa.

El responsable del tratamiento es la persona física o jurídica, pública o privada, que decide sobre la finalidad, contenido y uso del tratamiento de datos, aunque no lo realice materialmente.

Respecto a esta guía también destaca el hecho de que el consentimiento del interesado deba ser mediante una clara acción afirmativa. Esta forma de obtener el consentimiento es la que implica una posición activa del interesado, es decir, el consentimiento por silencio, o consentimiento tácito, queda excluido. Sin embargo hay que matizar que esta clara acción afirmativa no implica, de manera necesaria, el consentimiento expreso, pues se puede referir al concepto de consentimiento inferido, el cual permite al interesado manifestar su consentimiento a través de un comportamiento del que se infiera la voluntad de consentir.

Por otro lado, en cuanto a los denominados derechos ARCO –acceso, rectificación, cancelación y oposición-, los responsables del tratamiento tienen que facilitar a los interesados el ejercicio de los mismos a través de medios visibles, accesibles y sencillos. Actualmente se solicita que faciliten la presentación de las solicitudes para el ejercicio de esos derechos por medios electrónicos.

No hay que olvidar la figura del encargado del tratamiento: persona física o jurídica, pública o privada, que trata datos personales por cuenta del responsable del tratamiento como consecuencia de la existencia de una relación jurídica que les vincula. 

El encargado del tratamiento es la persona física o jurídica, pública o privada, que trata datos personales por cuenta del responsable del tratamiento como consecuencia de la existencia de una relación jurídica que les vincula.

La guía sobre el responsable del tratamiento establece además unas pautas en lo que a la relación de responsable-encargado se refiere, precisando una serie de obligaciones específicas para los encargados del tratamiento como son:

• mantener un registro de actividades de tratamiento
• determinar las medidas de seguridad aplicables a los tratamientos que realizan
• designar un Delegado de Protección de Datos en los casos previstos

Del mismo modo, las relaciones entre el responsable y el encargado se han de formalizar en un contrato de encargado de tratamiento que los una jurídicamente.

3. Del código de buenas prácticas sobre Big Data, lo que debe señalarse es que se han introducido novedades procedimentales como:

• Partir de la privacidad desde el diseño, es decir, asegurar que las garantías de protección de datos se incorporan desde la fase misma de planificación de los procedimientos y sistemas de información, teniendo en cuenta factores como el estado de la técnica, el coste de la aplicación o los riesgos del tratamiento para los derechos y libertades de los interesados – usuarios cuyos datos se tratan – para proteger así sus derechos.
  
• En lo referente a la Evaluación de Impacto en la Protección de Datos (EIPD), se trata de un proceso que ha de permitir a las empresas y administraciones determinar si las iniciativas que involucran el uso de información privada representan riesgos para el derecho a la protección de datos. Es decir, se deben medir y cuantificar los riesgos para valorar el impacto que tienen sobre los derechos y libertades de las personas cuyos datos personales se tratan. En cuestiones relacionadas con el Big Data los riesgos deben ser identificados y gestionados.
  
• Es recomendable la adopción de códigos de conducta en las organizaciones para facilitar la aplicación de la legislación vigente, así como la obtención de certificaciones, sellos o etiquetas que permitan demostrar a terceros su adecuado cumplimiento.

Entrevista a Rafael García Gozalo, jefe del área internacional de la AEPD En una interesante entrevista realizada a Rafael García Gozalo, jefe del área internacional de la AEPD, éste comenta que dado que el nuevo Reglamento es una norma que se aplica directamente, lo más apropiado es revisar la actual ley y elaborar una nueva. Para ello, se encargó a la Comisión General de Codificación la preparación de un borrador en la que participan también miembros de la AEPD. Aunque hay aspectos que solo se podrán conocer cuando la Ley sea pública, la mayoría de obligaciones ya se encuentran en el Reglamento y en las guías que hemos mencionado anteriormente y que la Agencia se ha encargado de difundir. García Gozalo también comenta la citada figura de los Delegados de Protección de Datos. La Agencia ha decidido no ser quien legitime a los DPO, por lo que ha comenzado a trabajar con la ENAC (Entidad Nacional de Acreditación) para confeccionar un esquema de certificación que pueda llegar a demostrar la cualificación y los conocimientos que se esperan de un Delegado.

Guías publicadas en la Unión Europea

Por su parte, el Grupo de Trabajo del Artículo 29, formado por las Autoridades de Protección de Datos de todos los Estados miembros de la Unión Europea, el Supervisor Europeo de Protección de Datos y la Comisión Europea, publicó también una serie de guías sobre el nuevo Reglamento de las cuales cabe recalcar los siguientes aspectos:

1. Aclaraciones sobre el derecho a la portabilidad, reconocido en el Reglamento actual, y que significa que el interesado, cuyos datos se están tratando, puede solicitar al responsable del tratamiento que comunique sus datos a otro responsable, y recibir sus datos personales y almacenarlos en un dispositivo propio sin comunicarlos a otro responsable del tratamiento.
   
   Por ejemplo: si deseas cambiar de compañía telefónica puedes solicitar tus datos a la empresa que tenías contratada hasta ahora, o pedirle que se los pase directamente a la nueva empresa que decidas contratar. Esto también es extensible a todo tipo de entidades, financieras, aseguradoras, etc.
   
   
2. Normas para la identificación de la autoridad de control principal ante determinadas situaciones. De este modo, cuando se realiza un tratamiento de datos transfronterizo o que afecta a ciudadanos en más de un Estado miembro, los procedimientos que se lleven a cabo estarán dirigidos por la autoridad de control principal. La guía elaborada por el Grupo de Trabajo del Artículo 29 propone ejemplos de tratamientos transfronterizos y aclara los criterios para determinar qué autoridad debe ocupar el puesto de autoridad de control principal en según qué casos.
   
   
3. Se aborda una serie de cuestiones sobre las funciones de los Delegados de Protección de Datos (DPO), de las cuales ya hablamos en su día.

 

Nuevo blog de la Agencia Española de Protección de Datos

Por último, destacar que a principios de 2017 la Agencia Española de Protección de Datos ha estrenado blog, lo cual es muy positivo por varios motivos:

• demuestra la labor didáctica que la Agencia ha venido ejecutando desde prácticamente sus inicios.
• resulta muy útil en la práctica, tanto para el ciudadano cuyos datos personales se tratan, como para las empresas que efectúan dichos tratamientos de datos.
• facilita el trabajo a los abogados especializados en derecho de protección e datos, puesto que permite saber e interpretar cuál es el criterio de la Agencia ante determinadas problemáticas o situaciones.

Por último, y aunque el nuevo Reglamento Europeo de Protección de Datos no entre en vigor hasta mayo de 2018, hay que tener en cuenta que debemos seguir cumpliendo con lo dispuesto en la legislación vigente.

De todos modos, desde Signaturit aconsejamos que las empresas comiencen a adaptarse a los cambios que se avecinan con esta nueva normativa que amplía los derechos de los usuarios y las obligaciones de las organizaciones.

El objetivo es no enfrentarse a un grave procedimiento sancionador ante la Agencia Española de Protección de Datos o incluso a una crisis reputacional que nos genere la pérdida de confianza de nuestros clientes.

---

{{cta(‘92359b23-cb41-4a1d-99ff-0ab4418c38e9’)}}

Este post ha sido redactado por el equipo de expertos en legislación sobre protección de datos de Avatic Abogados. @AvaticAbogados

 POSTS RELACIONADOS

• RegTech: tecnología al servicio del cumplimiento legal y normativo

• ¿Cómo se analizan las firmas dudosas en un proceso judicial?

• La validez jurídica de un contrato firmado electrónicamente con firma electrónica avanzada.

---