A partir del pasado 25 de mayo de 2018, ya es aplicable el nuevo Reglamento 2016/697 general de protección de datos. Aprobado el 27 de abril de 2016, y todavía sin desarrollo legislativo nacional, el nuevo Reglamento introduce importantes novedades; estrictas obligaciones para los encargados del tratamiento de datos personales, nuevos derechos para los propietarios de estos datos y sanciones de hasta 20 millones de euros o incluso del 4 % de la facturación anual mundial de la empresa u organización.
Para aclarar algunas dudas en relación a la aplicación del nuevo reglamento y de las obligaciones que trae consigo traemos este artículo.
¿Quiénes están sujetos a su cumplimiento?
Los obligados al cumplimiento de las estipulaciones contenidas en el nuevo Reglamento europeo de protección de datos son las organizaciones, empresas, entidades y autónomos que hagan uso de los datos personales a nivel comercial dentro de la Unión Europea y también fuera, siempre y cuando ofrezcan servicios a consumidores o usuarios que estén dentro de la UE. Al margen del Reglamento quedarían todos aquellos que no hacen uso comercial de los datos y que, además, también quedaban fuera de la Ley orgánica de protección de datos.
¿Qué novedades incluye el nuevo Reglamento?
Principalmente destacaría tres novedades: la responsabilidad activa y los mecanismos para llevarla a cabo: el análisis de riesgos y la evaluación de impactos; la figura del delegado de protección de datos; y los nuevos derechos que otorga el Reglamento a los propietarios de datos.
La responsabilidad activa
Con esta nueva regulación, hemos pasado de una normativa que regulaba exhaustivamente los criterios con los que tenías que cumplir: estableciendo la medidas de seguridad concretas, el modo de obtener el consentimiento, etc. a una responsabilidad activa, que no es más que el reflejo de la evolución que está tomando la sociedad a nivel tecnológico. El nuevo Reglamento considera que quien es el responsable de del tratamiento de los datos tiene que poner las medidas que considere oportunas para la protección de los mismos.
Pero, en la práctica ¿cómo aseguran las entidades que están cumpliendo con esa responsabilidad activa? las entidades tienen diversos medios para su aseguramiento como, por ejemplo, el análisis de riesgos. El análisis de riesgos es un mecanismo que consta de una serie de pasos que hay que seguir para ver exactamente los riesgos que afectan al tratamiento de datos que se está haciendo por parte de una organización. Otro medio, junto con el análisis de riesgos, es la evaluación de impacto. La evaluación de impacto es un paso más allá del análisis de riesgo y solo tienen que llevar a cabo esta evaluación determinados responsables de tratamientos de datos ya que, en concreto, la evaluación de impacto se centra en el procesamiento y tratamiento de datos concretos, y dicha evaluación se tiene que hacer antes de esa aplicación de procesamiento o tratamiento de datos novedosos.
Tanto para el análisis de riesgo como para la evaluación de impacto la Agencia Española de Protección de Datos ha publicado dos guías con toda la información. Además, para el análisis de riesgo, la AEPD ha creado la herramienta “Facilita“; una especie de cuestionario en el que se va añadiendo toda la información solicitada sobre el tipo de organización y el tratamiento de datos que se hace, en base a dicha información determina si se cumple con todos los parámetros o no.
El delegado de protección de datos
Se trata de una figura no obligatoria en todas las sociedades, pero si en entidades públicas. En concreto, es obligatoria para aquellas organizaciones que traten con categorías especiales de datos personales a gran escala (ej: hospitales) o responsables que realicen una monitorización continua de datos de carácter personal (ej: empresas de vigilancia):
De lo que se habla poco es de las muchas obligaciones que tiene la empresa respecto al delegado de protección de datos. Al final, el delegado es la persona que se encarga de hacer una vigilancia del cumplimiento del reglamento y de asesorar como se tiene que hacer ese cumplimiento, pero finalmente es la empresa la que ha de adoptar todas las medidas conducentes al cumplimiento y por otro lado, cumplir con las obligaciones que tiene como responsable respecto al delegado.
Derechos de los propietarios de los datos
Con el nuevo reglamento se añaden dos derechos más: el derecho a exigir la portabilidad de tus datos, a retirarlos y pasarlos a otro responsable del tratamiento. Además de los derechos ARCO que ya teníamos, el nuevo reglamento añade el derecho de portabilidad y el de limitación al tratamiento.
Hablemos de Facebook…
Actualmente podemos decir que muy pocas empresas cumplen con el Reglamento, simplemente podemos saberlo con mirar en sus páginas web las políticas de privacidad que tienen.
Facebook, Whatsapp, Google son algunas de las empresas que se ha visto que cumplían a nivel parcial. En el caso de Facebook, su responsabilidad es clara por la entidad de la empresa y la cantidad de datos que trata, a pesar de que siempre han buscado su defensa en que no han sido ellos quienes hicieron el mal uso de los datos, sino que fue un tercero. De igual forma, y ante el argumento, Facebook como responsable de los datos tenía que haber asegurado que los terceros que tenían acceso a sus datos y hacían un tratamiento, no hiciesen un mal uso. En este sentido, Facebook tenía que haber pedido unos estándares más altos a esos encargados del tratamiento o terceros que accedían con el permiso de Facebook.
Otro aspecto, relacionado con Facebook, es su política de privacidad. Si esa política por defecto no hubiese existido, esa aplicación tercera no hubiera podido acceder a tantos datos de carácter personal.
Y entrando en tema de las sanciones…
La regulación de las sanciones debería hacerse en la ley nacional, es en esta ley en la que se debe establecer la relación de las sanciones aplicables y especificarlas. Actualmente, hay un proyecto de ley española que modifica la ley orgánica 2/99 de protección de datos, pero esta ley se encuentra parada, por tanto estamos ante una incógnita
En el tema de las sanciones hay que ver cómo se va a desarrollar este aspecto, porque al no existir tipificación surgen muchos problemas: ¿Cómo tipificas si no se ha desarrollado en la legislación? ¿Serán los órganos administrativos los que determinen?
El Reglamento, por su parte, hace mención a la cuantificación. Con un tope de 10 millones de euros y 20 millones de euros para infracciones graves y muy graves, y se pueden incrementar hasta llegar al 2% (graves) o al 4% (muy graves) del volumen del negocio total anual global del ejercicio de esa sociedad. Por otro lado, las sanciones leves no están establecidas y son las que se deberían regular a través de legislación interna.
Recomendamos a los usuarios, que todavía no han implantado la nueva normativa de protección de datos, que aprovechen este momento. Ya que, si algo ha dejado claro este Reglamento, es la importancia que se le está dando a la protección de datos y a la responsabilidad proactiva sobre esos.
A los que sí que tengan la implantación que establecía la LOPD, recomendamos que la revisen y que se adecuen al Reglamento porque las modificaciones van desde las políticas de privacidad hasta las medidas de seguridad; que validen los consentimientos, el consentimiento tácito ya no tiene cabida, la legitimación para el tratamiento en todas las políticas de privacidad y que establezcan los plazos de conservación de los datos.