La nueva normativa que la Unión Europea aprobará esta primavera, pretende conseguir que todas las empresas y organizaciones que tratan datos de ciudadanos europeos, sean locales o internacionales, se atiendan a una única legislación en toda la UE, evitando así diferencias de criterios y regímenes sancionadores según el país en el que se realice el tratamiento.
Con el nuevo Reglamento, la protección de los datos personales se convertirá en algo más que un cumplimiento formal de obligaciones legales como venía siendo hasta ahora. La normativa pretende propiciar una verdadera cultura de la privacidad, debiendo de analizar los riesgos que conlleva el tratamiento, evaluar su impacto y tener en cuenta otros muchos factores que afectan la privacidad de las personas y la confidencialidad de sus datos.
La figura del consultor en privacidad será de gran relevancia para acometer este objetivo. El razonamiento de la normativa, el asesoramiento en los procedimientos a implementar y la resolución de incidencias serán los pilares para que la cultura de privacidad se instale en nuestro tejido empresarial y los ciudadanos europeos se sientan mucho más protegidos.
Estarán sujetas al Reglamento las empresas establecidas fuera de la UE que realicen tratamientos de datos personales de ciudadanos residentes en la UE cuando les ofrezcan bienes o servicios, se pague o no por ello o controlen su comportamiento.
El consentimiento para autorizar el tratamiento de datos debe ser libre, específico, informado, explícito e inequívoco. Será tan facil retirar el consentimiento como darlo. El Responsable del tratamiento deberá poder demostrar que se ha obtenido el consentimiento del interesado.
No será necesario obtener el consentimiento cuando el tratamiento sea necesario para el cumplimiento de obligaciones legales a las que esté sujeto el Responsable.
La información deberá estar unificada y facilitada por escrito o medios electrónicos pudiendo ser combinada con iconos formalizados. El deber de informar estará basado en la transparencia del tratamiento y en los derechos que asisten al interesado. Se añade la obligación de informar sobre el plazo de conservación de los datos y las posibles transferencias internacionales.
El Reglamento introduce el concepto de datos codificados para cuando los datos no puedan atribuirse a un interesado sin recurrir a información adicional, separada y sujeta a medidas de seguridad que garanticen el anonimato del mismo. Esta práctica pretende minimizar los riesgos del tratamiento.
Los Responsables del tratamiento deberán de ser capaces de demostrar el cumplimiento de todos los principios del tratamiento que impone el Reglamento: licitud, limitación de los fines, minimización de los datos, exactitud, limitación del plazo de conservación, efectividad, integridad y confidencialidad.
Se elimina la obligación de notificar los ficheros a la Autoridad de control. Este requisito ha resultado inutil para conseguir el propósito inicial de concienciación para la protección de datos personales, convirtiendo en muchos casos la simple notificación como el máximo deber del Responsable del tratamiento.
Implantar medidas, procedimientos y sistemas que garanticen la privacidad ajustados a las necesidades, tamaño, circunstancias, contexto y finalidades del tratamiento de datos. Ya no será necesario inventariar los equipos informáticos, el mobiliario y los soportes como precisaba el reglamento LOPD. Bastará con establecer una política de seguridad que garantice mediante unas prácticas de seguridad (identificación, autenticación, accesos, permisos, tratamiento, destrucción de documentos, copias de seguridad, etc. ) que se correspondan adecuadamente a la protección de datos según los riesgos previstos. Existirán mecanismos de certificación homologados para demostrar que se cumple el Reglamento.
Las empresas deberán garantizar desde el diseño y por defecto la protección de datos en cualquier fase del tratamiento: obtención, acceso, intervención, transmisión, conservación y supresión. Deberán asegurar que el tratamiento se realice para fines específicos, aplicar técnicas de minimización de datos, posibilitar el ejercicio de los derechos de los interesados y que los datos no sean accesibles a un nº indeterminado de personas.
Las empresas deberán asumir la responsabilidad de evaluar el grado de riesgo que representa para las personas que sean objeto de tratamiento, debiendo realizar una evaluación de impacto cuando se prevea un alto riesgo para los derechos, libertades e intereses legítimos de las mismas. Cuando el tratamiento no presente riesgo, la carga para el cumplimiento se verá notablemente reducida. Las evaluaciones de impacto deberán tenerse en cuenta para nuevos procedimientos de tratamiento.
Los Responsables y Encargados del tratamiento tendrán la obligación de llevar un registro de actividades cuando empleen a un mínimo de 250 personas, o el tratamiento pueda suponer un riesgo para los derechos y libertades del interesado, o se traten categorías especiales de datos o datos relativos a condenas y delitos penales. Este registro estará a disposición de la Autoridad de control.
Los Encargados de tratamiento estarán sujetos a las mismas sanciones que los Responsables. Deberán suscribir un contrato de prestación de servicios por cuenta del Responsable siguiendo sus instrucciones, que deberán ser documentadas, incluyendo si fuera el caso las transferencias de datos a terceros países u organizaciones internacionales. Cuando el Encargado del tratamiento determine los fines y medios del tratamiento por su cuenta será considerado Responsable y estará sujeto a las normas aplicables como tal.
Existe la nueva figura de Corresponsable del tratamiento para cuando entre varios Responsables o Encargados determinen los fines y los medios del tratamiento. En este caso se deberá formalizar un acuerdo donde se determine las funciones y responsabilidades de cada uno de ellos con respecto al tratamiento y a sus relaciones con los interesados. Con esta figura, muchos Encargados se van a convertir en Corresponsables del tratamiento.
Se debrán notificar las incidencias a la Autoridad de control en 72 horas, documentando la naturaleza y el contexto de la violación y los posibles efectos de la misma. Podrá implicar el informar a las personas afectadas cuando sea probable que presente un alto riesgo para sus derechos y libertades o le sea exigido por la Autoridad de control.
Nueva figura a cargo del Responsable encargada de informar y asesorar al Responsable o Encargado del tratamiento y al personal autorizado para tratar datos, de las obligaciones relativas a la protección de datos personales en tratamientos a gran escala o con un alto nivel de riesgo en protección de datos.
Existirá la “ventanilla única” para cuando un negocio se desarrolla en varios estados de la UE. La Autoridad de control de la sede central de la empresa actuará como la autoridad principal de las actividades de tratamiento de datos que tienen un impacto en toda la UE. Las reclamaciones y posibles violaciones del Reglamento se podrán tramitar a cualquier Autoridad de control competente de donde pertenezca el interesado.
Las multas serán proporcionales a cada caso particular. Habrá un incremento de la cuantía sancionable que podrá llegar, en casos graves, al 4% de la facturación en todo el mundo.
En la medida en que el nuevo Reglamento propone una nueva cultura de privacidad, este es el momento de revisar los procedimientos que estamos usando actualmente:
- Si no se está cumpliendo con la LOPD, deberemos ponernos al día, ya que la transición al GDPR será más sencilla desde su cumplimiento. A partir de la entrada en vigor del nuevo Reglamento habrá 2 años para adaptarnos.
- Regularizar las relaciones con los Encargados del tratamiento: realizar un inventario de los mismos, revisar los contratos para establecer si existe corresponsabilidad y documentar las instrucciones del encargo para minimizar los riesgos.
- Implementar medidas de seguridad desde el diseño y por defecto en todos los procesos del tratamiento mediante procedimientos y sistemas que garanticen la protección de datos y el ejercicio de los derechos de los interesados.
- Realizar un análisis de los riesgos que atañen al tratamiento y prevenir su impacto para garantizar los derechos y las libertades de las personas que puedan ser afectadas, asumiendo que la protección de datos es mucho más que un cumplimiento formal y documental.