Ámbito de aplicación:
Este se aplica al tratamiento de datos personales efectuado en actividades de un Responsable o Encargado de Tratamiento en la Unión Europea, aunque el tratamiento concreto tenga lugar fuera de la Unión. También se aplica a cualquier tratamiento de datos de ciudadanos que residan en la UE, aunque el Responsable o Encargado no esté establecido en ella, cuando:
- Estén relacionadas con ofertas de bienes o servicios a interesados en la UE
- Estén relacionadas con el control del comportamiento de interesados residentes en la UE
Consentimiento para el tratamiento de datos personales:
El consentimiento debe ser libre, específico, informado e inequívoco, cuando sea necesario para tratar datos de carácter personal. El Nuevo Reglamento Europeo exige una declaración o acción afirmativa, por lo que no es posible el consentimiento tácito. Además, en su artículo 7 manifiesta claramente que es el Responsable el que deberá demostrar la obtención expresa de los consentimientos. Por lo tanto si queremos seguir tratando los datos más allá de la fecha de entrada en vigor del RGPD va a ser necesario renovar los consentimientos no obtenidos expresamente, para aquellos tratamientos que lo requieran.
Derecho de Información:
A partir de la entrada en vigor del Nuevo Reglamento Europeo, el deber de información se amplía, deberán ser añadidos a las clausulas de información:
- Datos de contacto del Delegado de Protección de Datos (esta figura se explica en los siguientes puntos)
- Base jurídica del tratamiento (artículo o normativa en la que se basa la licitud del tratamiento)
- Si el tratamiento es lícito basándose en la satisfacción de intereses legítimos, hay que especificar dichos intereses.
- Si el tratamiento es lícito por contar con el consentimiento del interesado, hay que informarle de la posibilidad de retirar dicho consentimiento sin que afecte a la licitud de tratamientos anteriores
- Transferencias internacionales de datos previstas
- Plazo de conservación de los datos personales
- Derechos del interesado: Se añaden dos derechos nuevos, el de limitación del tratamiento y el derecho a la portabilidad de datos.
- Derecho a presentar reclamación ante la autoridad de control
- Fuente de la que proceden los datos personales (si no han sido proporcionados por el interesado)
- Si hay decisiones automatizadas (incluidos perfiles) hay que informar de:
- Lógica aplicada
- Importancia
- Consecuencias
El plazo para informar es:
- En el momento de obtenerse los datos
- Si no se puede, en el plazo máximo de un mes.
- En la primera comunicación, si se utilizan para comunicarse con el interesado
- Si se van a comunicar a otros, lo más tardar cuando se comuniquen
Evaluaciones de Impacto (PIA – Privacy Impact Assessment)
Estas Evaluaciones de Impacto serán obligatorias cuando se realice un tratamiento de datos a gran escala (por ejemplo, en APP’s móviles) o de datos sensibles (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, tratamiento de datos genéticos, datos biométricos, datos de salud, datos relativos a la vida sexual o a la orientación sexual y datos relativos a condenas o infracciones penales). En casos de profesionales que trabajen individualmente, profesional de la salud o abogado por ejemplo, no será necesaria esta PIA. Desde Legitec aconsejamos no esperar a la fecha de aplicación del Reglamento General de Protección de Datos para comenzar a realizar la PIA en su entidad, que deberán estar documentadas antes de su entrada en vigor.
Delegado de Protección de Datos (Data protection officer – DPO)
En la actualidad la LOPD regula la existencia del Responsable de Seguridad, como mero coordinador o interlocutor para la resolución de dudas en materia de protección de datos. Pero el Nuevo Reglamento de Protección de Datos obliga en ciertos casos a designar un DPO (artículo 37 y ss). El DPO será obligatorio en su entidad cuando:
- El tratamiento se lleve a cabo por una autoridad u organismo público (excepto Tribunales en el ejercicio de su función judicial).
- El responsable o encargado tenga entre sus actividades la observación habitual y sistemática de interesados a gran escala.
- El responsable o encargado tenga entre sus actividades el tratamiento a gran escala de categorías de datos especiales.
El DPO podrá ser interno o externo, o incluso se podría optar por una fórmula mixta. Deberá tener conocimientos especializados en Derecho y práctica en materia de protección de datos. Se publicarán los datos de contacto del DPO en las cláusulas de información y se comunicará su identidad a la Autoridad de Control pertinente (Agencia Española de Protección de Datos). El DPO deberá tener garantizado el acceso y recursos necesarios para el cumplimiento de sus funciones. El DPO no recibirá instrucciones para el desempeño de sus funciones. No será destituido ni sancionado por el Responsable o el encargado por desempeñar sus funciones. El DPO Rendirá cuentas directamente al más alto nivel jerárquico del Responsable o Encargado. Funciones asignadas legalmente.
- Cumplimiento legislación
- Formación y concienciación
- Asignación de responsabilidades
- Supervisión del cumplimiento
- Auditorías
- Evaluaciones de impacto
- Cooperación y contacto con la autoridad de control
Las entidades que precisen esta figura deberán nombrarla antes de Mayo de 2018. En Legitec asumimos la figura de DPO externo, no dude en consultarnos.
Relación entre Responsables y Encargados de Tratamiento
El RGPD incorpora la obligación del Responsable de contratar con Encargados de Tratamiento que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del RGPD y garantice la protección de los derechos del interesado. Dicha garantía debe ser probada y firmada en el contrato de encargado de tratamiento. Para garantizar que el tratamiento de datos se realiza por Encargados que cumplen la normativa de Protección de Datos, se les exigirá poner a disposición del Responsable información suficiente para demostrarlo. Otras obligaciones exigidas para el contrato de encargado de tratamiento:
- El Responsable documentará las instrucciones del tratamiento, así como la finalidad, incluidas las transferencias internacionales de datos.
- El Encargado deberá garantizar que su personal autorizado para tratar con datos personales se haya comprometido a respetar la confidencialidad.
- En el RGPD la subcontratación deberá ser previa, por escrito, específica o general del Responsable. Si es general, el Encargado deberá informar de cualquier cambio previsto con carácter previo, dando al Responsable la oportunidad de oponerse a dichos cambios. La subcontrata deberá incluir los mismos apartados que la contrata. En caso de incumplimiento por el subcontratado, el Encargado de tratamiento principal será responsable.
- Se deberán especificar las medidas de seguridad necesarias para el tratamiento.
- Se incluirá la obligación del encargado de asistir al responsable en las solicitudes de derechos de los interesados.
- El encargado deberá apoyar al responsable en el cumplimiento de las obligaciones legales.
- Al finalizar el encargo los datos se suprimirán o devolverán a elección del Responsable (como hasta ahora), pero se incorpora la obligación de suprimir todas las copias existentes salvo obligación legal de conservarlas.
En Legitec recomendamos aprovechar este periodo de transición para revisar y adaptar todos los contratos de Encargo de Tratamiento con nuestros prestadores de servicio.
Sanciones
El Nuevo Reglamento de Protección de datos modifica igualmente el sistema de sanciones:
- en el caso de las leves (incumplimiento en la obligación de poner las medidas técnicas adecuadas) puede alcanzar: 10 millones de euros o el 2% del volumen de negocio total anual global del ejercicio anterior
- para sanciones más graves (que tengan que ver, por ejemplo, con datos sensibles), 20 millones o el 4% del volumen de negocio.
Otros cambios que introduce el Nuevo Reglamento de Protección de Datos
El Nuevo Reglamento General de Protección de datos incorpora otros aspectos importantes en el ámbito de los derechos de los interesados, la privacidad desde el diseño, las medidas de seguridad… dichos cambios iremos tratándolos en informes posteriores. Desde Legitec recomendamos a las organizaciones que planifiquen su transición con tiempo, para que el proceso de cambio sea progresivo y concluya con éxito. Para mayor información, no dude en contactar con nosotros. María Herrera Consultora y Auditora Legitec
Pingback: Presentado el Anteproyecto de Ley Orgánica de Protección de Datos