Javier Alvarez Hernando. Abogado.
1.-El Reglamento empezará a aplicarse desde el 25/05/2018. Hasta esta fecha son de aplicación la LOPD (L.O. 15/1999) y la Directiva 95/46/CE. El legislador español modificará la LOPD y el RLOPD (R.D. 1720/2007) y las adaptará a las previsiones del Reglamento durante ese periodo transitorio.
2.-El Reglamento es de aplicación tanto a entidades establecidas en la UE como a aquellas empresas que realicen tratamiento de datos que deriven de la oferta de bienes y servicios destinados a ciudadanos europeos, o bien como consecuencia de la monitorización o seguimiento de su comportamiento. Estas organizaciones deben designar un representante en la UE e informar de ello a los ciudadanos.
3.-Se reconocen nuevas herramientas de control de los ciudadanos sobre sus propios datos, como el derecho al olvido y el derecho a la portabilidad.
- El derecho al olvido (recogido en la Sentencia del TJUE de 13 de mayo de 2014) supone que el interesado pueda solicitar el bloqueo de los resultados de los buscadores en Internet que se refieran a ellos y estas resulten obsoletas, incompletas, falsas o irrelevantes y no tengan un interés público. Esencial para ayudar en esta función entidades especializadas como www.borrarmisdatos.es
- El derecho a la portabilidad implica que el interesado puede solicitar a la entidad que esté tratando sus datos de forma automatizada, su recuperación en un formato que permita su traslado a otra entidad responsable, incluso de forma directa. Pensemos en los sistemas de computación en nube o cloud computing.
4.-Se determina que la edad en que los menores pueden consentir el tratamiento de sus datos en Internet, por ejemplo en redes sociales, es de 16 años. No obstante, se permite que los Estados establezcan rebajar esa edad como máximo hasta los 13 años. En España es necesario contar con 14 años, si bien por debajo de esta edad se requiere el consentimiento de los padres o tutores. En todo caso, las empresas que recopilen estos datos deben poder verificar dicha edad debiendo redactar sus cláusulas de privacidad en un lenguaje claro que puedan entender los menores.
5.-El Reglamento impone que el consentimiento para tratar datos personales, con carácter general, sea libre, informado, específico e inequívoco. El consentimiento debe prestarse mediante una acción positiva del interesado, es decir, no será válido como hasta ahora, el consentimiento tácito.
Por otro lado, para datos sensibles (origen étnico, opiniones políticas, salud, orientación sexual…) se requiere un “consentimiento explícito”, es decir, que la declaración se refiera de forma explícita al consentimiento y al tratamiento en cuestión.
Hay que tener presente que el consentimiento obtenido debe ser verificable, es decir, que la entidad que lo ha recogido esté en condiciones de demostrar que la obtención del consentimiento respetó las directrices legales indicadas anteriormente.
6.-Se va a requerir actualizar las advertencias o políticas de privacidad, por parte de los responsables de ficheros y/o tratamientos. El Reglamento impone la necesidad, entre otras, de explicar con un lenguaje sencillo y claro, la base legal para el tratamiento de los datos, los periodos de retención de los mismos, y que los interesados pueden reclamar ante las Autoridades de Protección de Datos.
7.-Se introduce el principio de accountability que exige aplicar criterios de responsabilidad activa, de tal guisa que las obligaciones de los responsables se dirigen de forma esencial a la adopción de medidas preventivas que deben de “estar en condiciones de acreditar“. Con este objetivo se crea una batería de medidas:
- La protección de datos desde el diseño (Privacy by Design) a fin de asegurar que las garantías de protección de los datos se incorporan ya en la temprana fase de planificación de los procedimientos y sistemas.
- Protección de datos por defecto. La configuración predefinida de los mecanismos de recogida de datos personales sólo debe recopilar aquellos datos que sean estrictamente necesarios.
- Medidas de seguridad específicas.
- Mantenimiento de un registro de tratamientos.
- La realización de evaluaciones de impacto sobre la protección de datos (EIPD) -o por sus siglas en inglés: Privacy Impact Analysis (PIAC) o Privacy Impact Assessment (PIA)- es, básicamente, un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho a la protección de datos de los afectados cuyos datos se tratan y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminar o mitigar en lo posible aquellos que se hayan identificado.
- Nombramiento de un delegado en protección de datos.
- Notificación de violaciones o quiebras de la seguridad de los datos.
- Promoción de códigos de conducta y esquemas de certificación.
Es necesario, tal y como dice la Agencia Española de Protección de Datos, que las empresas que tratan datos personales (o sea, todas) realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicarse y cómo hacerlo. Tienen de plazo, como hemos dicho, hasta el 25 de mayo de 2018.
31 de mayo de 2016.
