La responsabilidad proactiva y el enfoque del riesgo en la Protección de Datos

 

A partir del próximo 25 de mayo será plenamente exigible el cumplimiento del Reglamento UE 2016/679 de Protección de Datos (RGPD, o GDPR por sus siglas en inglés).

El RGPD sustituye a la Directiva 95/46 y la LOPD 15/1999 hasta ahora aplicables, y si bien mantiene conceptos, principios y mecanismos similares a los de la Directiva y la LOPD, modifica algunos de sus aspectos e introduce novedades significativas que cada organización deberá analizar y adaptar según sus propias características.

Dos son los principios más novedosos y que mayor repercusión tienen en las organizaciones y las obligaciones que han de cumplir, el principio de responsabilidad proactiva y el enfoque del riesgo. En virtud del primero las organizaciones responsables del tratamiento de los datos deben emplear las medidas técnicas y organizativas que garanticen que el tratamiento se realiza conforme al RGPD y además deben poder demostrarlo. Para ello deberán analizar qué datos tratan, con qué finalidad realizan el tratamiento y qué tipo de operaciones hacen. Es decir, las organizaciones han de ser proactivas frente a los tratamientos de datos que realizan.

En virtud del segundo las medidas que el RGPD propone se aplicarán solo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán articularse atendiendo al nivel y tipo de riesgo del tratamiento en cuestión. Para determinar las medidas a aplicar se habrá de tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento junto con el riesgo que pueda existir para los derechos de las personas.

Al igual que sucede con la LOPD, el RGPD establece la necesidad de que el tratamiento de datos se apoye en una base que lo legitime. En este punto no se introducen  novedades por parte del Reglamento, manteniendo las bases jurídicas recogidas en la Directiva y en la LOPD:

  • Consentimiento, que debe ser inequívoco.
  • Relación contractual
  • Intereses vitales del interesado u otra persona
  • Obligación legal para el responsable
  • Interés público o ejercicio de poderes públicos
  • Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos

Será obligatorio identificar cual o cuáles son las bases legales en las que se apoya el tratamiento de datos que realiza la organización, ya que será necesario informar a los interesados de forma concisa, transparente, con un lenguaje claro y sencillo, dando cuenta de la base legal sobre la que se desarrolla el tratamiento, lo que será indispensable para demostrar el cumplimiento de las previsiones del RGPD.

En relación al consentimiento, el RGPD introduce novedades, ya que establece que debe ser inequívoco y prestarse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, especifica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto obligará a revisar el consentimiento obtenido y las cláusulas y formas por las que se obtiene. Para el caso en el que el tratamiento de datos responda a diferentes fines el consentimiento deberá prestarse para cada uno de ellos.

El ámbito de aplicación territorial del RGPD lo constituyen los tratamientos de datos realizados por (i) las organizaciones establecidas en la Unión Europea, independientemente de que el tratamiento tenga lugar en la UE o no, y (ii) por aquellas organizaciones que estando establecidas fuera de UE lleven a cabo tratamientos de datos personales relacionados con la oferta de bienes o servicios a los interesados residentes en la UE, o se lleve a cabo un seguimiento de su comportamiento siempre que éste se realice dentro de la UE. Igualmente será de aplicación a aquellos tratamientos de datos realizados por responsables no establecido en la UE pero donde el Derecho de los Estados Miembros es aplicable en virtud del Derecho internacional público.

El RGPD incorpora una serie de medidas que los responsables, y según los casos los encargados, deberán observar para garantizar el cumplimiento normativo y poder demostrarlo. Estas son:

  • Análisis de riesgo: todos los responsables deberán realizar una valoración del riesgo de los tratamientos que llevan a cabo de forma que puedan establecerse las medidas necesarias: por ejemplo, realización de evaluaciones de impacto, protección desde el diseño o aplicación de medidas de seguridad.

 

  • Registro de actividades de tratamiento: desaparece la obligación de comunicar e inscribir ficheros ante la Agencia de Protección de Datos y se deberá llevar, en su lugar, por los sujetos obligados y no exentos, un registro de actividades de tratamiento en el que se hará constar la información indicada en el RGPD para los casos de tratamientos de datos que entrañen riesgo para los derechos y libertades de los interesados y en el caso de tratamiento de datos sensibles. Se puede partir para ello de los ficheros declarados en la AEPD, para lo que se puede solicitar a la agencia la información que sobre esos ficheros declarados se le haya aportado.

 

  • Protección de Datos desde el Diseño y por Defecto: son medidas que se deben aplicar con anterioridad al inicio del tratamiento y durante la realización de este. Las medidas organizativas y técnicas han de adoptarse desde el mismo momento en que se diseña un nuevo producto o servicio, teniendo en cuenta el tratamiento que será necesario llevar a cabo y garantizando que solo se tratarán los datos necesarios.

 

  • Medidas de seguridad: al contrario que sucedía en el reglamento de la LOPD donde se enumeraban las medidas de seguridad que se debían adoptar en función del tipo de datos que se trataban, el RGPD añade más variables a considerar y deja al albur del resultado del análisis la determinación de las medidas que sea necesario adoptar.

 

  • Notificación de “violaciones de seguridad de los datos”: por violación de seguridad el RGPD entiende la “destrucción, perdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. Si se produce una violación de seguridad, el responsable debe documentarla y notificarla a la autoridad de control competente en el plazo de 72 horas y sin dilación indebida, salvo que no suponga un riesgo para los derechos y libertades de los afectados. Si existiera tal riesgo deberá notificarse también a los interesados con una recomendación de las medidas que pueden adoptar.

 

  • Evaluación de impacto sobre la Protección de Datos: se deberán realizar con carácter previo al inicio del tratamiento en aquellos casos en que se prevea que este puede conllevar un alto riesgo para los derechos y libertades de los usuarios.

 

  • Delegado de Protección de Datos: surge la figura del Delegado de Protección de Datos (DPD, o DPO por sus siglas en inglés) como la persona encargada de asesorar al responsable o al encargado del tratamiento de las obligaciones conforme al RGPD y normativa relacionada. Esta figura será obligatoria para autoridades y organismos públicos, se ha de nombrar atendiendo a su cualificación profesional y en particular a su conocimiento de la normativa y práctica de la protección de datos. La designación y sus datos de contacto deberán ser puestos en conocimiento de las autoridades de supervisión.

En definitiva, son muchos e importantes los cambios que introduce el RGPD por lo que es necesario realizar un análisis de la situación en la que cada organización se encuentra, de forma que pueda actualizar sus políticas y procedimientos para cumplir con los requerimientos de la nueva normativa.

Luis Manuel García
Sergio Muñoz

 

Consúltenos

Para cualquier otra información, por favor, no dude en contactar con nosotros en:

T +34 91 436 00 90
F +34 91 575 20 18
e-mail: [email protected]

Socio Director: Lupicinio Rodríguez
T +34 91 436 00 90

¿Dónde estamos?

Nuestra oficina principal está en Madrid:

Villanueva 29
28001 - Madrid
T +34 91 436 00 90
F +34 91 575 20 18
Ver mapa

También tenemos oficinas en:Barcelona, Valladolid, Bilbao, Vigo y Dubai.

ACTUALIDAD

En esta sección el profesional de los medios de comunicación encontrará toda la información y recursos relativos a Lupicinio Abogados.

TRABAJA CON NOSOTROS

Si deseas colaborar con nuestra Firma, consulta estas secciones:

58afa76f10d24f4832513526d5009504uuuuuuuuuuuuuuuu