Muchos de vosotros nos habéis preguntado cual es el motivo por el que surge este nuevo Reglamento.
En este post resumo la finalidad del RGPD y las principales novedades introducidas por esta normativa europea.
Novedades del Reglamento europeo de Protección de Datos
La idea de fondo de esta nueva normativa es amparar al usuario frente al uso incorrecto y abusivo de sus datos personales en Internet, aunque a veces es difícil fijar el límite entre esto y el almacenamiento de estos datos para mejorar el servicio o la experiencia del usuario en la web.
Los aspectos más importantes a destacar del nuevo Reglamento son:
Garantía para los titulares de datos personales
Se refuerza el derecho a la protección de datos personales otorgando a los afectados un mayor control sobre sus datos. Esto se traduce en:
- Facilitar el ejercicio del derecho de acceso a sus datos.
- El derecho a la supresión de los datos personales y el «derecho al olvido», que permite a cualquiera exigir a un proveedor de servicios que borre inmediatamente los datos personales reunidos durante la infancia de la persona.
- El derecho a la portabilidad, con esto se facilita la transmisión de datos personales de un proveedor de servicios, como por ejemplo una red social, a otro. Ello aumentará también la competencia entre proveedores de servicios.
- Límites a la elaboración de perfiles (“profiling”), es decir, al tratamiento automatizado de datos personales para analizar aspectos personales como el rendimiento en el trabajo, la situación económica, la salud, las preferencias personales, geolocalización, etc.
¿Cuáles son los principios de la protección de datos según el RGPD?
Antes de esta normativa ya contábamos con principios básicos como los de calidad, información, deber de secreto y consentimiento para el tratamiento de datos personales, con esta norma europea se añaden nuevos principios como el de rendición de cuentas o “Accountability”, citando la responsabilidad de las compañías en la imposición de mecanismos que avalen el cumplimiento de los principios y obligaciones en materia de protección de datos, así como a los métodos de certificación que garanticen su fiabilidad.
Esta responsabilidad, será asímismo aplicable para empresas tanto pequeñas como grandes, aunque es cierto que resulta más sencillo instaurar políticas y métodos de control en multinacionales que operan a escala mundial, a través del establecimiento de mecanismos internos y externos para analizar su fiabilidad y justificar su efectividad cuando se requiera por las autoridades de control. Además, los medios y recursos de los que disponen permiten realizar regularmente programas de concienciación en esta materia
Principio de Transparencia
Centrado en simplificar las relaciones entre el responsable de los datos y el interesado, así como entre el responsable de los datos y las autoridades de control.
Este principio se concreta en cuatro conceptos:
- Supresión de la obligación de notificar y registrar los ficheros que contienen datos personales ante la autoridad de control (Agencia Española de Protección de Datos-AEPD).
- Conservación de la documentación de todas las actuaciones de tratamiento de datos realizadas bajo su responsabilidad. La responsabilidad de conservar la documentación, a partir de la entrada en vigor del nuevo Reglamento, corresponde tanto al Responsable como al Encargado del tratamiento.
- Instaurar mecanismos sencillos para el ejercicio de los derechos. Un ejemplo de ello, es la posibilidad de ejercitar los derechos vía electrónica, y la obligación de avisar a los solicitantes de la posibilidad de reclamar ante la autoridad de control y de recurrir a los tribunales. Asimismo, la Comisión podrá crear formularios y procedimientos normalizados para las comunicaciones a los interesados, incluido el formato electrónico, aprobando medidas particulares para las microempresas, las pequeñas y medianas empresas.
- Cooperación con autoridades de control. Con la nueva normativa los responsables y encargados del tratamiento no sólo deberán cooperar con su autoridad de control nacional (en nuestro caso AEPD), sino que ahora también entrará en juego la obligación de“rendir cuentas” ante la Comisión y el Consejo Europeo de Protección de Datos. Si bien esto otorga mayor transparencia a las actividades que supongan tratamiento de datos personales, también origina un riguroso deber de cumplimiento para dichos agentes.
El RGPD pretende obtener una regulación uniforme que supere las diferencias normativas existentes actualmente.
Obligaciones de los responsables y encargados del tratamiento
- Deberán presentar información transparente y de fácil acceso a los interesados acerca del tratamiento de sus datos. Habría que suministrar la identidad y datos de contacto del Delegado de Protección de Datos.
- Imponer las medidas de seguridad necesarias según la evaluación de los riesgos.
- Notificar las violaciones de datos personales no solo a la autoridad de control sino también a las personas expresamente afectadas por las mismas. Pero si al producirse la pérdida, los datos están protegidos de manera que éstos sean ininteligibles y la empresa lo prueba ante la autoridad de control, entonces no existirá obligación de informar sobre la filtración a las personas cuyos datos se han perdido o robado.
- Nombrar un Delegado de Protección de Datos: para entidades del sector público, las grandes empresas y aquellas otras empresas cuya función principal consista en actividades de tratamiento de datos.
- Evaluación de impacto: los responsables del tratamiento podrán precisar unos niveles de riesgo según una evaluación del impacto que suponga su tratamiento de datos personales, y tomar medidas con arreglo a dichos niveles. Se considera procesamiento peligroso al realizado con datos personales de 5000 o más individuos. Hay varios supuestos: los tratamientos que delimiten perfiles, los datos especialmente protegidos o los de menores tratados a gran escala.
- Privacy by design: (protección de datos desde el diseño) aplicar medidas y procedimientos técnicos y organizativos preventivos en el diseño de aplicaciones en las que se vaya a tratar datos personales.
- Sello Europeo de Protección de datos: las empresas podrán solicitarlo a las Autoridades de Control que lo concederán mediante un procedimiento previo de certificación efectuado por profesionales acreditados.
Autoridades de control
- El Reglamento ratifica la obligación que tienen los Estados miembros de crear una autoridad de control independiente a nivel nacional.
- Ventanilla única: pretende instaurar mecanismos para lograr una aplicación congruente de la legislación sobre protección de datos en toda la UE. En particular, la Comisión plantea que, cuando el tratamiento de datos personales se realice en más de un Estado miembro, sea una única autoridad de control la que tenga competencia para el seguimiento de todas estas actividades. La autoridad competente será la autoridad del Estado miembro en el que se encuentre el establecimiento principal del responsable o el encargado del tratamiento. Este reglamento también se aplicará a cualquier operador, independientemente de su establecimiento, cuando ofrezca sus bienes o servicios a ciudadanos de la UE.
- Creación de un Consejo Europeo de Protección de Datos: estará integrado por los representantes de cada una de las 28 autoridades de control independientes y sustituirá al actual Comité.
Reclamaciones y sanciones
Los afectados, así como, las organizaciones de protección de datos podrán presentar (con ciertas condiciones) reclamaciones ante una autoridad de control o interponer recurso en los casos en que se infrinjan las normas de protección de datos.
Además, en el caso de que dichos casos se confirmen, los responsables del tratamiento se arriesgan a:
- Apercibimiento/advertencia por escrito en el caso de ser el primer incumplimiento no intencionado. (Supuesto de una persona física que realiza el tratamiento de datos personales sin interés comercial o empresa que emplee a menos de 250 personas y que trata datos personales como actividad auxiliar a su actividad principal)
- Auditorías de protección de datos, regulares y reiteradas.
- Multas: las sanciones han sufrido un importante incremento, pudiendo alcanzar la cuantiosa cifra de 20.000.000 € o el importe correspondiente al 4% del volumen de negocio total anual global del ejercicio financiero anterior, por lo que las empresas deberán tener especial cuidado en el cumplimiento de la ley.
Las autoridades de protección de datos de cada Estado serán las que impongan estas sanciones administrativas. En el caso de España, la Agencia Española de Protección de Datos (AEPD).
Objetivos del RPGD
El Reglamento Europeo de Protección de Datos nace, por tanto, con un doble objetivo: