Notas sobre las implicaciones prácticas del GDPR durante el periodo de transición


Josep Aragonés Salvat     30/06/2016



La AEPD,  en su nota de prensa “Implicaciones prácticas del Reglamento General de Protección de Datos para entidades en el periodo de transición”, recomienda a las empresas que vayan adaptando sus procesos al nuevo Reglamento de protección de datos (GDPR) para afrontar el momento en el que el Reglamento sea aplicable:
 

1. Consentimiento explícito

El nuevo Reglamento solo permite el consentimiento explícito del interesado para realizar un tratamiento, excluyendo el hasta ahora permitido consentimiento tácito, por lo que,  según la AEPD los consentimientos tácitos “sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando los criterios fijados por el propio Reglamento”, o sea que no va a cumplir ninguno.

La AEPD aconseja empezar ya a revisar los tratamientos que se basen en este tipo de consentimiento para adecuarlos al Reglamento, ya que a partir de la aplicación definitiva del GDPR, el 25 de mayo de 2018, “sólo tendrán legitimación suficiente los tratamientos basados en el consentimiento inequívoco, con independencia de cuándo se haya obtenido ese consentimiento”.

Recordar que los tratamientos efectuados por una obligación legal del Responsable del tratamiento (por ejemplo la emisión de una factura) no precisan de consentimiento explícito.

Para más información sobre el consentimiento, consultar el artículo de este mismo web: El consentimiento explícito en el GDPR
 

2. Información del tratamiento al interesado

La AEPD aconseja a las empresas que “adapten sus políticas informativas a lo dispuesto por el Reglamento incorporando sin dilación las cuestiones adicionales que actualmente no son requeridas por la normativa española a las informaciones que se proporcionan a los interesados”.

En este sentido, el Reglamento dispone que se debe informar:
  • La identidad y los datos de contacto del Responsable del tratamiento y, si existen, los del Representante y DPO.
  • Los fines del tratamiento a que se destinan los datos personales.
  • La base jurídica del tratamiento.
  • El plazo de conservación o los criterios que lo determinen.
  • Los destinatarios o categorías de destinatarios de los datos.
  • Las transferencias internacionales y las garantías adecuadas de protección de datos.
  • El derecho de acceso, rectificación y supresión de los datos y el de limitación u oposición al tratamiento.
  • El derecho a la portabilidad de los datos.
  • El derecho a presentar una reclamación ante la Autoridad de control (AEPD).
  • El derecho a retirar el consentimiento en cualquier momento cuando el interesado haya dado su consentimiento explícito.
 
Para más información, consultar el artículo de este mismo web: La información del tratamiento en el GDPR
 

3. Evaluaciones de impacto sobre la protección de datos

Las evaluaciones de impacto deberán realizarse cuando sea probable que exista un alto riesgo para los derechos y libertades de los interesados con el objetivo de minimizar dichos riesgos. La AEPD “considera que no debería esperarse a la fecha en que la realización de las evaluaciones resulte obligatoria para comenzar a utilizar esta herramienta, ya que requiere de preparación, elección de la metodología adecuada, identificación de los equipos de trabajo y otra serie de condiciones que no pueden improvisarse”.

Aunque la AEPD podrá establecer una lista de los tipos de tratamiento que requieren una evaluación de impacto, mientras esto no suceda, las empresas que realicen tratamientos que traten una cantidad considerable de datos personales que afecten a un gran número de ciudadanos (a gran escala) o que prevean un alto riesgo, ya deberían proceder a analizar dichos riesgos y proceder a realizar una evaluación de impacto.

Una evaluación de impacto debe analizar la necesidad y proporcionalidad del tratamiento con respecto a su finalidad, los riesgos para los derechos y libertades de los interesados, los mecanismos destinados a garantizar la protección de datos y las medidas de seguridad previstas para afrontar los riesgos del tratamiento desde el diseño y por defecto en cualquier fase del tratamiento.

Para más información, consultar el artículo de este mismo web: La evaluación de impacto en el GDPR
 

4. Certificación

Aunque en el artículo de la AEPD se habla de que “el Reglamento concede una atención especial a la implantación de esquemas de certificación”, la verdad es que por ahora estos mecanismos de certificación no existen y no se podrán solicitar hasta que las Autoridades competentes en protección de datos los hayan establecido.

La obtención de un  Certificado, Sello o Marcado de Protección de Datos por parte del Responsable o Encargado del tratamiento podrá garantizar el cumplimiento del Reglamento durante un período máximo de 3 años y podrá ser renovado si se siguen cumpliendo los requisitos exigidos por el organismo acreditado que lo suministre.

Para más información, consultar el artículo de este mismo web: Garantías de cumplimiento en el GDPR
 

5. Delegados de Protección de Datos. Certificación

La AEPD “considera que no es oportuno establecer un sistema de certificación de Delegados de Protección de Datos que opere como requisito para el acceso a la profesión” y está en fase de valorar la posibilidad de promover la acreditación de entidades de certificación de DPO.

A parte de esta acreditación, que si se establece será muy útil para el sector,  destacamos que el Responsable o Encargado del tratamiento solo tendrán la obligación de designar un DPO cuando su actividad principal contemple tratamientos a gran escala de observación habitual y sistemática de interesados, categorías especiales de datos o datos relativos a condenas e infracciones penales.
 
Para más información sobre DPO, consultar el artículo de este mismo web: Obligación de designar un DPO
 

6. Relación entre Responsables y Encargados

La AEPD recomienda que se deberían revisar “los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, de forma que en mayo de 2018 sean compatibles con las disposiciones del Reglamento” e “incluir en las nuevas cláusulas contractuales todos los elementos que el Reglamento considera necesarios”.

En este sentido, será imprescindible diseñar un nuevo tipo de contrato que contemple las disposiciones que el GDPR obliga a detallar en el mismo:
  • El objeto, duración, naturaleza y finalidad del tratamiento.
  • El tipo de datos personales y categorías de interesados.
  • Las obligaciones y derechos del Responsable del tratamiento.
  • Que se seguirán las instrucciones documentadas del Responsable del tratamiento, incluyendo las transferencias internacionales.
  • Que el personal autorizado para realizar el tratamiento haya suscrito un acuerdo de confidencialidad.
  • Que se implementarán las medidas de seguridad que establece el Reglamento.
  • Que no se podrá subcontratar el servicio a otro Encargado del tratamiento sin la autorización previa y por escrito del Responsable.
  • Que se crearán las condiciones técnicas y organizativas necesarias para cursar las solicitudes de los derechos de los interesados.
  • Que cooperará con el Responsable para garantizar el cumplimiento del Reglamento.
  • Que al término del contrato se suprimirán o devolverán los datos y se eliminarán las copias existentes.
  • Que se pondrá a disposición del Responsable los recursos necesarios para demostrar el cumplimiento del contrato.
  • Que si el Encargado del tratamiento determina por su cuenta los fines y los medios del tratamiento, será considerado Responsable.
 
Para más información sobre el Encargado del tratamiento, consultar el artículo de este mismo web: El Encargado del tratamiento en el GDPR
 

7. Herramientas para pymes y herramientas sectoriales

Buena labor la de la AEPD que está trabajando “en la preparación de herramientas que ayuden a Responsables y Encargados al entendimiento y cumplimiento del Reglamento”.

Para más información sobre herramientas para el entendimiento y cumplimiento del reglamento, consultar el artículo de este mismo web: Libro - Guía del nuevo Reglamento Europeo de Protección de Datos (GDPR)
 

Conclusiones

Aunque la AEPD va realizando escritos de vez en cuando sobre cómo adaptarnos al nuevo Reglamento, se echa en falta más concreción sobre cada asunto tratado.

En este blog de Ateneu Privacy Consulting se irán tratando las disposiciones del GDRP en toda su extensión y complejidad para un buen razonamiento de aplicación del nuevo Reglamento.
  
 

Información relacionada