Entradas

Cómo cumplir con el RGPD y no morir probándolo

proteccion de datos

La cuenta atrás corre que te escarba. Queda muy poco para el 25 de mayo, fecha en la que será de aplicación el Reglamento Europeo de Protección de Datos o RGPD o GDPR.

 

Dicho normativa, de aplicación directa a todos los estados miembros de la UE, establece un principio fundamental, cual es el de responsabilidad proactiva, lo que se conoce en el mundo anglosajón como accountability, que traducido viene a decir que ya somos mayores de edad para aplicar las medidas técnicas y organizativas que estimemos oportunas para garantizar y poder demostrar que el tratamiento de los datos personales es conforme al RGPD.

 

Una de las cuestiones más controvertidas a la hora de probar el cumplimiento del RGPD será cuando contratemos con los encargados del tratamiento, ya que debemos hacer una labor policial (hasta ahora se hacía con la comprobación de la inscripción de los ficheros y con el documento de seguridad) contratando única y exclusivamente con aquellos que garanticen que cumplen, a su vez, con el RGPD. Y no sólo el contrato de encargado del tratamiento es suficiente.

 

Es cierto que el RGPD nos da soluciones, como la adhesión a códigos de conducta o mediante certificación. Pero dichos medios no son obligatorios, y en un principio pocos estarán adheridos o certificados. Por tanto, hay que buscar otras vías. ¿Cuáles? Por ejemplo, acreditar que se han implementado las medidas técnicas y organizativas necesarias atendiendo al nivel de riesgo que presente la organización; no tenemos el documento de seguridad ni la inscripción de los ficheros, pero tenemos el registro de actividades del tratamiento, los análisis de riesgos, protocolos de actuación, etc.

 

También cabe auditar al encargado, pero a nadie le gusta que le examinen.

 

Una garantía de cumplimiento es el nombramiento de un delegado de protección de datos (DPD), por lo que si el encargado lo tiene, también tiene una presunción de cumplimiento efectivo, al actuar como garante.

 

En cuanto al contrato de encargado de tratamiento, aconsejamos que se haga por separado al de prestación de servicios que corresponda, pues éste último puede tener datos confidenciales que no es preciso revelar.

 

Hay encargados del tratamiento que son muy celosos de su documentación. Lo entendemos. Pero sin un mínimo de prueba del cumplimiento no es recomendable contratar, por mucho que nos juren y perjuren que cumplen, aun por escrito.

 

 

Nombramiento de un único Delegado de Protección de Datos para grupo empresarial

Data Protection Officer

Delegado Protección de Datos

El Delegado de Protección de Datos (DPD) es uno de los elementos claves del Reglamento General de Protección de Datos (RGPD), como garante del cumplimiento de la normativa de protección de datos en las organizaciones.

 

Conocido también como DPO (en inglés, Data Protection Officer), al Delegado de Protección de Datos (DPD), que deberá contar con conocimientos especializados del Derecho y la práctica de la protección de datos y que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar; así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.

 

En el RGPD encontramos la regulación del DPD en los artículos 37 y siguientes, tratando el artículo 37 sobre la designación del DPD. Este precepto ha sido interpretado en el documento “Directrices sobre delegados de protección de datos” del Grupo de Trabajo del Artículo 29, que será sustituido por el Comité Europeo de Protección de Datos.

 

Mención especial hay que hacer sobre el apartado 2 del citado artículo 37 del RGPD, que permite a un grupo empresarial designar un único DPD, siempre que éste “sea fácilmente accesible desde cada establecimiento”.

 

Pero, ¿qué debemos entender por “fácilmente accesible”?

 

Por accesibilidad debemos entender a las tareas del DPD como punto de contacto con respecto a los interesados y a la autoridad de control, pero también internamente dentro de la organización, teniendo en cuenta que una de esas tareas es informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben.

 

Por tanto, para asegurarse que el DPD es accesible, con independencia de si es interno o externo, debe constar y estar disponible sus datos de contacto; debe comunicarse eficazmente, lo que incluye la comunicación en el idioma de los interesados o de las autoridades de control con las que deba actuar; y debe estar disponible, ya sea físicamente en las instalaciones de los componentes del grupo, ya sea mediante cualquier medio efectivo de comunicación.

Reglamento General de Protección de Datos

proteccion de datos

El Reglamento General de Protección de Datos ha entrado en vigor el 25 de mayo de 2016, siendo de plena aplicación a partir del 25 de mayo de 2018.

 

¿A qué empresas u organizaciones se aplica?

El Reglamento se aplicará a empresas o profesionales establecidos en la Unión Europea, y se amplía también a aquellos que, no estando establecidos en la UE, realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento, teniendo que nombrar en este caso un representante dentro de la UE.

 

¿Qué implica para los ciudadanos que el Reglamento amplíe el ámbito de aplicación territorial?

Una mayor garantía para sus derechos. En la actualidad, para tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de Internet.

 

¿Qué nuevas herramientas de control de sus datos poseen los ciudadanos?

El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

 

El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

 

Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.

 

¿A qué edad pueden los menores prestar su consentimiento para el tratamiento de sus datos personales?

El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años.

 

Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años.

 

En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores.

 

En el caso de las empresas que recopilen datos personales, es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.

 

¿Qué implica la responsabilidad activa recogida en el Reglamento?

Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa.

 

Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece.

 

El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Para ello, el Reglamento prevé una batería completa de medidas:

 

– Protección de datos desde el diseño

– Protección de datos por defecto

– Medidas de seguridad

– Mantenimiento de un registro de tratamientos

– Realización de evaluaciones de impacto sobre la protección de datos

– Nombramiento de un delegado de protección de datos

– Notificación de violaciones de la seguridad de los datos

– Promoción de códigos de conducta y esquemas de certificación.

 

¿Supone el Reglamento una mayor carga de obligaciones para las empresas?

El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.

 

En primer lugar, algunas de las medidas que introduce el Reglamento son una continuación o reemplazan a otras ya existentes, como es el caso de las medidas de seguridad o de la obligación de documentación y, hasta cierto punto, la evaluación de impacto y la consulta a Autoridades de supervisión.

 

Otras constituyen la formalización en una norma legal de prácticas ya muy extendidas en las empresas o que, en todo caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos, como pueden ser la privacidad desde el diseño y por defecto, la evaluación de impacto sobre protección de datos en ciertos casos o la existencia de un delegado de protección de datos.

 

Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo.

 

El consentimiento como pilar fundamental.

Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco.

 

¿Deben las empresas revisar sus avisos de privacidad?

Con carácter general, sí.

 

El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos.

 

Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.