NUEVA LEY DE PROTECCIÓN DE DATOS RGPD

El origen de la protección de datos nace en el artículo 18 de la Constitución. El objetivo de la normativa es tener un control de quien tiene nuestros datos, como los utiliza y de que manera los gestiona.

El incremento en el intercambio de datos por medio de Internet ha hecho necesario un nuevo marco normativo europeo que se plasma con el nuevo reglamento del 27 de Abril de 2016 el cual entra en vigor el 25 de Mayo de este año 2018 deroga el reglamente europeo anterior existente.

La nueva normativa que complementa el reglamento está aun ahora en trámite de aprobación.

La normativa establece normativas técnicas, organizativas y legales a cualquier empresa o autónomo que gestione datos privados con el fin de dar garantías al ciudadano, simplificar la actual regulación y establecer reglas claras para la transferencia internacional de los datos.

Decir también que la nueva normativa eleva el importe de las sanciones que se aplican por el incumplimiento de la normativa.

Los principales cambios que trae las nueva ley que entrará en vigor el 25 de Mayo próximo son:

1-Tiplogía de datos.

No se establece los diferentes niveles de datos (desde básico hasta alto) ni medidas especiales a tomar en cada uno de ellos.

2-Registro de ficheros

Desaparece la obligación de notificar los ficheros a la AEDP tal cual se hacía hasta ahora a partir de la entra de la nueva ley..
Lo que pasamos a tener ahora es la obligación de tener un registro de actividades de tratamiento que documente la tipología de datos que tratamos y como lo hacemos.

Este registro interno deberá contener una serie de campos obligatorios que como mínimo deben incluir:

-Responsable del tratamiento
-Finalidad del tratamiento
-Interesados
-Categorías de datos personales
-Periodo de conservación
-Cesiones
-Transferencias internacionales
-Medidas de seguridad
-Encargados del tratamiento

Para aquellas organizaciones publicas o privadas que traten datos personales de forma intensiva o datos sensibles a gran escala aparece la figura del Delegado de Protección de Datos (DPD) cuyos datos de contacto deben ser comunicados a la Agencia con anterioridad a la entrada en vigor de la nueva ley el 25 de Mayo.

3-Contrato de confidencialidad con trabajadores

Esta parte se mantiene y se amplia, deberá incluirse por un lado el tratamiento que se hará de sus datos (nominas, etc), el compromiso de uso que el empleado hace de la información a la que accede en la empresa, así como otros elementos de seguridad o control que se pueda utilizar (videovigilancia, control del correo, etc) deberán estar contemplados en el mismo.

4-Compromisos con terceros encargados del tratamiento

Se amplia el contrato con encargados del tratamiento donde se deberá incluir una descripción detallada de los servicios prestados, las medidas que se aplican, posibles transferencias internacionales de datos, subcontrataciones, etc,..

5.- Información y consentimiento.

Al igual como en la LOPD es necesario incluir clausulas y avisos legales, pero este se amplia y habrá que presentar la información con mayor detalle, incluyendo la base jurídica para el tratamiento de los datos, destinatarios, derechos de los afectados y reclamaciones, etc..

Se permite que esta información se presente por capas, es decir, un documento mas manejable y pequeño y que por medio de enlaces sea posible ir entrando a mas detalles de esta información y su base.

6.-Consentimiento

Esta parte sufre cambios importantes en relación a la LOPD donde estaba admitido el consentimiento tácito.
Con la RGPD el consentimiento debe ser libre, informado, específico e inequívoco según artículo 4.11 del RGPD.
El consentimiento debe prestarse mediante una acción positiva del interesado (no son válidas casillas pre-marcadas en formularios web).

El consentimiento debe ser verificable, se tiene que poder probar que se obtuvo dicho consentimiento.

A nivel europeo los mayores de 13 años pueden prestar su consentimiento sin necesidad de los padres o tutores, 14 años en España.

7.- Derechos ARCO

Los derechos de Acceso, Rectificación, Cancelación u Oposición se mantienen y además se añade:

-Derecho al olvido

Es la manifestación de los tradicionales derechos de cancelación y oposición aplicados a los buscadores de internet. Hace referencia al derecho de impedir la difusión de información personal a través de Internet cuando la información sea obsoleta o ya no tenga relevancia ni interés público, a pesar de que la publicación original sea legítima.

-Derecho a la oportunidad

Posibilidad que tiene el interesado a recibir sus datos personales en un formato estructurado con el fin de poder transmitirlos de responsable a responsable.

-Derecho de limitación

El afectado puede limitar el uso de sus datos (bloqueo) cuando haya controversias sobre la licitud o ilicitud de aquellos datos personales.

-Derecho de indemnización.

8.-Transferencias internacionales

Las transferencias de datos internacionales deben regularse para ofrecer las garantías adecuadas y garantizar los derechos. En este sentido la Agencia indica que los siguientes países tienen un nivel de seguridad equiparable al nuestro:

-Europa
-Suiza
-Canadá
-Argentina
-Guernsey
-Isla de Man
-Jersey
-Isla Feroe
-Andorra
-Israel
-Uruguay
-Nueva Zelanda
-EEUU

9.-Papel

Medidas de custodia de la documentación escrita, criterios de archivado, dispositivos de almacenamiento así como destructoras y fotocopiadoras.

10.-Medidas técnicas

En este apartado aparecen conceptos como privacidad por diseño o desde el diseño y análisis de riesgos y evolución de impacto.
Con la nueva RGPD no se establece una serie de medidas de seguridad a implementar si no que aparece un nuevo concepto de “accountability” o responsabilidad proactiva que implica que es el empresario el que debe determinar las medidas a tomar para la seguridad de los datos en base a los siguientes principios;

-Licitud, lealtad y transparencia
-Limitación de la finalidad
-Minimización de los datos
-Exactitud
-Limitación del periodo de conservación
-Integridad y confidencialidad

Los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en un análisis previo; además, deberán estar en condiciones de demostrar la aplicación de dichas medidas.

Por otro lado, todas estas medidas técnicas y organizativas se deberán establecer teniendo en cuenta:

-El coste de la técnica
-Los costes de aplicación
-La naturaleza, alcance, contexto y las finalidades del tratamiento
-Los riesgos para los derechos y libertades

En este sentido las medidas mínimas que si se citan son:

-Seudonimización
-Cifrado
– Capacidad de garantizar:
-Confidencialidad
-integridad
-Disponibilidad
-Restauración frente a desastres

11.-Privacidad desde el diseño

Con esto lo que se intenta es que en el momento en el que se desarrolla una nueva web, un nuevo app se considere desde primer momento cuales son los datos mínimos e imprescindibles que es necesario pedir y los aspectos de la privacidad a tener en cuenta para integrar las medias técnicas para integrar a los tratamientos garantías que permitan aplicar la RGPD.

12.-Análisis y riesgos

Con la nueva RGPD se obliga a los responsables a hacer una valoración de los riesgos: valorar el impacto de la exposición a la amenaza junto con la probabilidad de que esta se materialice.

Este análisis varía por un lado en función del tipo de tratamiento, naturaleza de los datos, número de interesados afectados y la cantidad de tratamientos y por otro lado en función del tamaño de la empresa de forma que para pequeñas empresas valdrá una reflexión documentada sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados mientras que en grandes corporaciones existen ya metodologías ya establecidas.

En este análisis se determina uno por uno por un lado cual es el riesgo, que sería la combinación entre la posibilidad de que se materialice y sus consecuencias negativas y por otro lado cual es la amenaza, que sería cualquier factor de riesgo con potencial para crear una amenaza o un daño o perjuicio a los interesados sobre los que se tratan los datos.

Para cada uno de estos riesgos habría que describir las medidas de control que se toma para evitarlos tanto a nivel técnico como organizativo o legal.

13.-Evaluación del impacto

Esta solo será obligatoria en los siguientes supuestos:

-Cuando el tratamiento implique un ALTO RIESGO para los derechos y libertades de las personas físicas: monitorización del comportamiento, elaboración de perfiles, evaluación de la personalidad o situación financiera, laboral o social, … DECISIONES AUTOMATIZADAS.

-Tratamiento a GRAN ESCALA de datos sensibles (origen étnico o racial, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud o vida/orientación sexual).

-Observación sistemática a gran escala de una zona de acceso público.

En relación al contenido mínimo que deberá contener esta evaluación de impacto tenemos:

-Descripción sistemática de las operaciones de tratamiento previstas y las finalidades del tratamiento.
-Evaluación de las necesidades y proporciones de las operaciones de tratamiento respecto a su finalidad.
-Evaluación de los riesgos para los derechos para los derechos y libertades de los empleados.
-Medidas previstas para afrontar los riesgos (demostrables).

14.- El DPD/DPO (Delegado de Protección de Datos)
El DPO es un punto de conexión entre el responsable del fichero o tratamiento, el afectado y la/s autoridad/es de control cuya función será la de supervisar el cumplimiento de la RGPD y las disposiciones vigentes.

El DPO puede ser parte de la plantilla de la empresa o ser externo y debe notificarse sus datos a la autoridad de control por medio de un formulario online habilitado para ello.

Su figura será obligatoria en los siguientes casos:

-Autoridades u organismos públicos
-Actividades que requieran una observación habitual y sistemática de interesados a gran escala.
-Tratamiento a gran escala de datos sensibles.
-Colegios profesionales
-Centros educativos
-Entidades que exploten redes de comunicación
-Entidades de supervisión de solvencia crédito
-Entidades aseguradoras
-Distribuidores de energía eléctrica
-Entidades responsables de ficheros de solvencia patrimonial
-Centros sanitarios obligados a guardar historiales clínicos
-etc.

Junto con ENAC la AEPD está habilitando entidades para certificar a los que quieran ser DPO.

15.- Violaciones de seguridad

Una brecha de seguridad es todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a esos datos.

Como ejemplos de brecha tenemos la perdida o robo de un dispositivo, acceso no autorizado a la base de datos de la organización, borrado accidental de un fichero que contenga datos de carácter personal, fuga de información debido a un ataque en la red corporativa o la web, perdida de documentación con información sensible, etc..
Daños que puede causar una violación de seguridad; Perdida de control sobre sus datos personales, restricción de sus derechos, discriminación, usurpación de identidad, pérdidas económicas, reversión no autorizada de la seudonimización, daños reputacionales, perdida de confidencialidad de datos sujetos al secreto profesional o cualquier otro perjuicio económico o social significativo para la persona física en cuestión.
Esta situación se deberá de notificar a la agencia de protección de datos en un plazo máximo de 72h no siendo necesario comunicarlo cuando sea improbable que la violación de seguridad implique riesgos para los derechos y libertades de las personas.
Por el contrario si el riesgo existente es alto habrá que notificárselo también a los afectados en lenguaje claro y sencillo informando de la naturaleza de la violación, sus consecuencias y las medidas adoptadas.

emarketers

Entradas Relacionadas:
Leave a reply