Reglamento sobre la Protección de Datos
UN NUEVO MARCO LEGAL QUE REGULA LA REALIDAD SOCIAL Y TECNOLOGICA ACTUAL
El Reglamento General de Protección de Datos (UE) 2016/679, referente a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos (en adelante RGPD), se aprobó el 27 abril 2016 y será aplicable a partir del 25 de mayo de 2018.
Es un Reglamento que no precisa de normas internas de desarrollo por lo que es de aplicación desde el pasado 25 de mayo, y se convierte en la norma de referencia que relega en el caso de España, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Con su aprobación se intenta terminar con la dispersión existente en los distintos Estados miembros de la normativo en materias de protección de datos.
Frente a una visión principalmente estática de la anterior Ley, se alza el nuevo RGPD, bajo un cariz más dinámico, sobre todo en lo que respecta a los movimientos de datos personales que necesitan su protección.
Desaparece la obligación de los responsables del tratamiento de inscribir los ficheros referentes a las actividades tanto físicas como jurídicas que traten datos de carácter personal y se obliga a establecer registros de actividades de tratamiento dónde, y según el artículo 30 del citado Reglamento, se debe aportar desde el nombre y datos de contacto de los encargados de tratamientos o responsables y de delegado de protección de datos hasta la finalidad del tratamiento, a quién o quienes los comunica, si se transfiere a terceros países, o los medios técnicos y organizativos que se aplican para conservar su seguridad.
¿ Cuáles son las novedades en este Reglamento ?
- El principio de responsabilidad proactiva. Se exige una actitud diligente, consciente y de mayor implicación por parte de las entidades frente a cualquier tratamiento de datos personales que se realicen.
- El enfoque de riesgo. Establece la obligatoriedad de evaluar los datos de que se dispone a los efectos de definir el nivel de protección. Así, una vez evaluado el mismo se adoptaran diferentes medidas en caso de detectar la existencia de riesgo en la vulneración de datos relativos a derechos y -libertades.
- Mayor protección al individuo. En un plano actual cada vez más digital de las actividades de las organizaciones, el intercambio de datos es más frecuente, lo que conlleva un mayor riesgo de circulación sin los medios adecuados para su protección. Esta nueva ley garantiza protección en este sentido.
- Se excluye el consentimiento tácito o por omisión. Ya no se trata de validar procedimientos o de incluir leyendas informativas al usuario. No será válida la inacción, el consentimiento debe ser inequívoco mediante una manifestación del interesado o mediante una clara acción afirmativa., que se convierte en explicita en el caso de que los datos a tratar sean sensibles.
- Edad para prestar consentimiento. Se adelanta a la edad de trece años cuando pueden prestar su consentimiento personal para el tratamiento de sus datos, acorde con la normativa de otros países europeos.
- Nueva categoría especial de datos. Se implementa la forma de procesar las llamadas categoría especiales de datos, que incluyen datos reveladores de origen étnico o racial, consideraciones políticas, religiosas o creencias filosóficas, militancia sindical, tratamiento de datos genéticos, datos relativos a la salud o de sexualidad, así como infracciones o condenas penales. Por tanto, el solo consentimiento del afectado no será suficiente para permitir el tratamiento de estos datos sensibles por lo que será necesario habilitar procedimientos adicionales de procesamiento.
- Verificación del consentimiento. Siempre el consentimiento inequívoco y explicito debe ser verificable. Las organizaciones deben tener los mecanismos para poder acreditar la adquisición del consentimiento acorde a la normativa vigente.
- Transparencia. Tanto en lo que respecta a las condiciones de los tratamientos que le incumben como en las respuestas al ejercicio de sus derechos, será necesario proporcionarlo de manera concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y conciso. El nuevo reglamento abarca los derechos de acceso, rectificación, supresión, derecho a la limitación del tratamiento, así como el de la portabilidad y oposición.
- Responsabilidades. Otro concepto que es incluido es el de exclusión de la imputabilidad del responsable en el caso que se haya tomado por su parte los procedimientos correctos para la rectificación o supresión de los datos.
¿ Quién es el Delegado de Protección de Datos ?
Es la figura más novedosa de este nuevo RGPD. Disponer de un Delegado de Protección de Datos (DPD), será obligatorio en:
- Autoridades y Organismo Públicos
- Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieren una observación habitual y sistemática de interesados a gran escala.
- Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.
El DPD ha de ser nombrado según sus cualificaciones profesionales, y en concreto, a sus conocimientos de la legislación y la práctica de la protección de datos. Su designación y sus datos debe ser comunicada a las autoridades de supervisión competentes.
Además se permite que se mantenga con el responsable o encargado del tratamiento una relación laboral o bien, mediante un contrato de prestación de servicios, es decir, permite que pueda contratarse el servicio de DPD con persona físicas o jurídicas ajenas a la entidad.
En conclusión, este nuevo reglamento de aplicación inmediata a nivel europeo lo que pretende es crear un marco legislativo que garantice la protección de datos de carácter personal debido al incremento del flujo de datos a nivel internacional como consecuencia de la globalización de los mercados y del avance de la recursos tecnológicos actuales.