Normas para los responsables de tratamiento de datos según el Reglamento Europeo
Dos principios fundamentales
El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y será aplicable a partir de mayo de 2018. En este periodo transitorio y aun cuando siguen vigentes las disposiciones de la Directiva 95/46 y las correspondientes normas nacionales de desarrollo, los responsables y encargados de tratamiento deben ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del RGPD en el momento en que sea de aplicación.
La norma de referencia es claramente, por tanto, el Reglamento y no las normas nacionales. Las organizaciones que ahora mismo están cumpliendo con la LOPD tienen una buena base de partida para aplicar el Reglamento correctamente a partir de Mayo.
Pero hay que decir que el Rto establece algunas nuevas normas nuevas que generan obligaciones también nuevas para los responsables de tratamiento de datos.
La mayor innovación del RGPD viene de los siguientes elementos:
1.El principio de responsabilidad proactiva, según el cual las organizaciones tienen que asegurar que el tratamiento de datos que realicen está de acuerdo con el Reglamento. Este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo
2.El enfoque de riesgo. Se trata de tener en cuenta el riesgo que hay en un tratamiento de datos para los derechos y libertades de las personas, de forma que algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.
El tratamiento de datos debe tener una base legal
La identificación de la base legal es indispensable y debe adaptarse al tipo de tratamiento y a las características de las organizaciones
El RGPD mantiene el principio de la Directiva 95/46 de que todo tratamiento de datos necesita apoyarse en una base que lo legitime. Y también recoge las mismas bases jurídicas que contenía la Directiva y que reproduce la LOPD:
•Consentimiento
•Relación contractual
•Intereses vitales del interesado o de otras personas
•Obligación legal para el responsable
•Interés público o ejercicio de poderes públicos
•Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos
En este sentido, el Reglamento no implica cambios para los responsables del tratamiento de datos
Consentimiento
El consentimiento debe ser inequívoco. El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa
Hay situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito:
•Tratamiento de datos sensibles
•Adopción de decisiones automatizadas
•Transferencias internacionales
El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación).
A diferencia del Rto de Desarrollo de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción
Transparencia e información a los interesados
La información a los interesados (sobre un tratamiento de sus datos) debe proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo
Derechos. Ejercicio
Los responsables deben facilitar a los interesados el ejercicio de sus derechos y los procedimientos y formas para ello deben ser visibles, accesibles y sencillos. Se requiere que los responsables posibiliten la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por estos medios
El ejercicio de los derechos será gratuito para los interesados excepto en los casos en que se formulen solicitudes manifiestamente infundadas o excesivas, especialmente por repetitivas.
Derecho de acceso
En cuanto al derecho de acceso, antes debían facilitarse todos los datos de base del afectado, pero no copias o documentos. Después del Reglamento, se reconoce el derecho a obtener una copia de los datos personales objeto de tratamiento
Derecho al olvido
No está considerado como un derecho diferenciado de los clásicos derechos ARCO (Los derechos ARCO -acceso, rectificación, cancelación y oposición- son el conjunto de derechos a través de los cuales la ley orgánica 15/1999 de Protección de Datos de Carácter Personal LOPD garantiza a las personas el poder de control sobre sus datos personales). Es una consecuencia de la aplicación del derecho al borrado de los datos personales.
Es una manifestación de los derechos de cancelación u oposición en el entorno online (según
la jurisprudencia que el Tribunal de Justicia de la UE estableció en el caso Google Spain).
Limitación de tratamiento
La limitación de tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían. Pero hay unos determinados supuestos para solicitarlo, previstos en la Guia de la Agencia Española de Protección de datos para responsables de tratamiento
Derecho a la portabilidad de los datos
Es una forma avanzada del derecho de acceso, por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica.
Obligaciones específicas para los encargados
El RGPD contiene obligaciones expresamente dirigidas a los encargados.
La responsabilidad última sobre el tratamiento sigue estando atribuida al responsable, que es quien determina la existencia del tratamiento y su finalidad.
En determinadas materias los encargados tienen obligaciones propias que establece el RGPD, que no se circunscriben al ámbito del contrato que los une al responsable, y que pueden ser supervisadas separadamente por las autoridades de protección de datos. Por ejemplo:
• Deben mantener un registro de actividades de tratamiento.
• Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.
• Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.
Los encargados pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas de certificación previstos por el RGPD.