Índice
- 1 El reglamento de protección de datos ¿por qué entra en vigor? ¿qué novedades introduce?
- 2 Novedades que introduce el Reglamento de protección de datos
- 2.1 Niveles de seguridad
- 2.2 La cuantía de las sanciones
- 2.3 Obligación de notificar los ficheros que contengan datos de carácter personal a la AEPD
- 2.4 Documentos de seguridad
- 2.5 Auditoría Periódica
- 2.6 Derechos ARCO
- 2.7 Consentimiento
- 2.8 Información para los interesados
- 2.9 El delegado de protección de datos
El reglamento de protección de datos ¿por qué entra en vigor? ¿qué novedades introduce?
El próximo 25 de mayo comenzará a aplicarse el Reglamento General de Protección de Datos del Parlamento Europeo y del Consejo de la Unión Europea, que trae consigo una nueva ley de protección de datos a nivel estatal. Hasta el momento, tenemos un Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, de 24 de noviembre de 2017, que adapta nuestro ordenamiento jurídico actual a las nuevas disposiciones del RGPD.
La actual ley de protección de datos entró en vigor en el año 1999 y, desde aquel entonces, el mundo ha cambiado mucho. Vivimos una nueva era digital que gira entorno a las nuevas tecnologías e Internet, lo que provoca cambios trascendentes en nuestra sociedad asentada en un mundo globalizado.
Esta vorágine digital supone un reto para que las personas puedan asimilar los conocimientos y los hábitos que implica y, si la ley tiene que ir de la mano con la sociedad, era necesaria una concordancia entre el triángulo que conforman la legalidad, la ciudadanía y la tecnología. La ley del 1999, que todavía sigue vigente hasta mayo, se ha quedado obsoleta y no está preparada para soportar la revolución tecnológica experimentada en estos últimos tiempos.
Novedades que introduce el Reglamento de protección de datos
A continuación, vamos a repasar brevemente algunas de las novedades que trae consigo el Reglamento, aunque en posteriores artículos profundicemos más en aquellas que nos sean de interés.
Niveles de seguridad
Cualquier profesional o empresa que trate datos de carácter personal de clientes, proveedores o empleados estará obligado a comprobar si el nivel de seguridad de sus datos es el óptimo. Existen diferentes niveles: el básico (datos identificativos), el medio (información relativa a la solvencia patrimonial) y el alto (información acerca de la ideología, salud, vida sexual, origen racial, etc). Dependiendo de si se trata de uno u otro nivel, necesitará instaurar una serie de mecanismos de protección de datos más o menos meticulosos.
La cuantía de las sanciones
A pesar de que la sanción se gradúa atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia y a los daños y perjuicios causados, el importe aumenta considerablemente respecto de la estipulada en la ley vigente.
Obligación de notificar los ficheros que contengan datos de carácter personal a la AEPD
Para ello se creó el sistema de Notificaciones Telemáticas a la Agencia Española de Protección de Datos (NOTA), que permite cumplir con la obligación que la LOPD establece de notificar sus ficheros a la Agencia a través de una herramienta que le informa y asesora acerca de los requerimientos de la notificación.
Documentos de seguridad
Será necesario contar con un documento de seguridad y mantenerlo permanentemente actualizado siempre que se utilicen datos personales. Si se llega a producir una inspección, supondría una infracción grave la inexistencia de este documento por no poder probar que estamos adoptando las medidas pertinentes que garanticen la seguridad de los datos.
Auditoría Periódica
Nace la obligación de realizar una auditoría periódica que demuestre la adecuación al nuevo reglamento de los datos que se dispone y las medidas que se aplican. La necesidad de llevar a cabo auditorías periódicas está ligada a la actualización del documento de seguridad. Son modos de asegurar que se está actuando correctamente en lo relativo a la protección de datos de los interesados.
Derechos ARCO
Este acrónimo se corresponde con los derechos de acceso, rectificación, cancelación y oposición. Con el Reglamento se amplían: acceso, transparencia, información, portabilidad, rectificación, limitación del tratamiento, oposición y el derecho al olvido. De entre todos los que se añaden, destacamos el derecho al olvido y la portabilidad.
El derecho al olvido es la manifestación de los tradicionales derechos de cancelación y oposición aplicados a los buscadores de internet. Hace referencia al derecho a impedir la difusión de información personal a través de internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa. En concreto, incluye el derecho a limitar la difusión universal e indiscriminada de datos personales en los buscadores generales cuando la información es obsoleta o ya no tiene relevancia ni interés público, aunque la publicación original sea legítima. Mientras que la portabilidad complementa al derecho de acceso, ya que permite a las personas obtener los datos que han proporcionado a una empresa (responsable del tratamiento) en un formato estructurado, de uso común y de lectura mecánica, para entregarlos en otra entidad o empresa.
Consentimiento
Hasta la fecha bastaba con un consentimiento tácito por parte del interesado, pero con el nuevo Reglamento todos los consentimientos que se faciliten para el uso de sus datos deberán ser claramente expresos y revocables. Este consentimiento reúne cuatro características esenciales para que sea válido: ha de ser expreso, específico, verificable y revocable.
Por ello, deben incluirse mecanismos informativos claros, habiendo que relegar aquellos formularios de suscripción o de registro que no requieran el consentimiento de los usuarios. Tampoco se podrá presuponer el consentimiento por la inacción u omisión del interesado. El consentimiento ya no es presumible, habrá que demostrar el modo en que se ha requerido. El silencio y las casillas pre marcadas no se permiten en el Reglamento. Hay que asegurarse de que los formularios de las páginas webs permiten obtener dicho consentimiento sin echar mano de estos trucos, sino de forma adecuada a las disposiciones de la norma legal.
También será necesario facilitarle al interesado la forma en que pueda revocar el consentimiento. Tiene que ser tan fácil dar el consentimiento como retirarlo, por eso es recomendable proporcionar una dirección de correo electrónico donde el interesado pueda manifestar la revocación de su consentimiento.
Información para los interesados
En relación con el modo de obtención del consentimiento, ha de facilitarse a los interesados toda la información relativa a las condiciones de tratamiento de sus datos y a sus derechos. Deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, y sin excesivas remisiones a los textos legales que puedan dificultar su comprensión.
El delegado de protección de datos
La gran novedad del Reglamento es la creación de esta nueva figura. La función del delegado de protección de datos será la de encargarse de la planificación de las medidas de seguridad aplicables a los tratamientos de datos y la gestión de los mismos.
FUENTES:
- Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, de 24 de noviembre de 2017.
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de la Unión Europea, de 27 de abril de 2016.
