La
Ley Orgánica de Protección de datos de 1999 y su posterior reglamento se
promulgan al amparo del artículo 18 de la Constitución , con la
tarea de garantizar y
proteger las libertades públicas y derechos fundamentales de las personas en lo
que a datos personales se refiere.
Esta norma obliga a toda persona, empresa y organismo,
tanto público como privado a seguir un estricto control en la recogida de datos
de carácter personal y su tratamiento. De este modo, se regulan de forma
concreta el almacenaje, conservación y uso de datos especialmente protegidos, así como la comunicación o cesión de los
mismos y el derecho a la modificación.
Hasta abril del año 2016, las normas españolas
obligaban a cualquier persona que recabara y almacenara datos personales de
personas físicas a una serie de pautas de conducta:
-
Comunicar
a la Agencia Española de Protección de Datos los ficheros de datos personales
que tuviera en su poder y su nivel de protección (básico, medio, alto).
-
Elaborar
un documento de seguridad donde constaran las medidas adoptadas para proteger
dichos datos.
-
Comunicar
y recabar el consentimiento expreso o tácito de las personas interesadas, así
como informarles de sus derechos ARCO (acceso, rectificación, comunicación y
oposición).
En el año 2016 la UE promulga un reglamento de
aplicación directa en los países miembros y que afecta directamente a otros
países externos que traten datos de carácter personal de ciudadanos UE. Este
reglamente ha tenido un período de adaptación que ha finalizado el 25 de mayo
de 2018. Desde ese día, todos las personas físicas o jurídicas que recaben
datos de carácter personal, como hemos mencionado anteriormente, están
obligadas a una serie de pautas de conducta, que se diferencian sustancialmente
de las que hasta ahora venían existiendo.
Las nuevas medidas de protección se basan
principalmente en dos principios básicos: el consentimiento expreso de los afectados y el principio de
responsabilidad activa. Estas dos nuevas líneas de exigencia, eliminan
la obligación de comunicar los archivos a la AEPD, limitando sus funciones y
convirtiendo a la agencia en una Agencia de Control, más que en un organismo de
policía administrativa, como hasta ahora venía ocurriendo.
¿En qué se traducen,
principalmente, las novedades del reglamento a efectos prácticos?
-
El
RGPD amplía las obligaciones de las empresas europeas, autónomos,
administraciones públicas y las de aquellas empresas ubicadas fuera de la Unión
Europea que ofrezcan sus productos o servicios a usuarios de los estados
miembros, o que reciban datos personales desde la misma.
-
Desaparece la obligación de notificar y registrar los ficheros que
contienen datos personales ante la autoridad competente.
-
Cada
responsable, y en su caso, su representante llevarán un registro de las
actividades de tratamiento efectuadas bajo su responsabilidad y contenidas en
el documento de seguridad.
-
Las
empresas, organismos y comerciantes deben adoptar las medidas que aseguren
razonablemente que están en condiciones de cumplir con los principios, derechos
y garantías que el reglamento establece, puesto que, la exigencia del mismo es
que las empresas u organizaciones tengan una actitud consciente, diligente y
proactiva del tratamiento de los datos, estando capacitadas para demostrar –
llegado el momento – las medidas de seguridad aplicadas (responsabilidad proactiva).
-
Recabar
el consentimiento expreso
para correos electrónicos masivos con información y publicidad de la empresa u
organización y para la recogida de datos (fichas de cliente, fichas de socio,
etc.).
-
Ofrecer
a los afectados el ejercicio de sus derechos
ARCO, más el derecho al olvido (eliminación de los datos en caso de que
pierdan su finalidad) y derecho a la portabilidad.
-
Limitar
la recogida de datos a aquellos estrictamente necesarios.
-
Obligación
de la llevanza de un registro de actividades de tratamiento para cualquier
empresa y organización que emplee a más de 250 personas.
-
Deberán
tener un delegado de protección de datos las empresas públicas, las que tengan
un tratamiento a gran escala o las que traten datos especialmente sensibles o
relativos a condenas o infracciones penales.
-
Realizar
una evaluación de impacto para las organizaciones que realicen tratamientos de
datos que puedan implicar un alto riesgo para los derechos y libertades de las
personas físicas.
-
Notificar
a la agencia las violaciones de la seguridad de los datos.
-
En
cuanto a las sanciones, no se establecen cuantías mínimas y las máximas pueden
alcanzar los 20 millones de euros o hasta el 4% del volumen de negocio del
infractor.
Las modificaciones señaladas suponen un mayor
compromiso por parte de las organizaciones, públicas o privadas, con la
protección de datos. Si bien, ello no implica necesariamente una mayor carga
sino tan solo una forma de gestionar la protección de datos de manera distinta
de la que se vino empleando hasta ahora.
Las novedades tienen mucho que ver con la
responsabilidad actividad de los responsables que hasta ahora venían tutelados
por la Agencia y que ahora deberán realizar un análisis de riesgos con el fin
de revisar las medidas de seguridad adoptadas para proteger los datos
personales que hayan recabado a la luz de los resultados de dicho análisis.
Para aquellas empresas, comerciantes y organizaciones
a las que no resulte útil las herramientas que nos ofrece la Agencia Española
de Protección de datos en su página web (www.aepd.es), ésta ha elaborado una
HOJA DE RUTA sobre cómo adaptarse al Reglamento General de Protección de Datos
(RGPD), normativa aplicable el 25 de mayo de 2018 y cuya lectura recomendamos.
Alejandro López Sánchez.
Abogado
LOPEZ SANCHEZ ABOGADOS – BETANZOS
Primera Consulta Gratuita / info@lopezsanchez.com
No hay comentarios:
Publicar un comentario