Escríbenos Dónde estamos
Mándanos un mailMándanos un mail
Haz click en:Copiar mailoAbrir mail
Mail copiado
Menu
Menu
Asesoría Lacalle Tarín Escríbenos Dónde estamos
chat WhatsappTeléfonocómo llegar
Asesoría Lacalle Tarín

Análisis del nuevo Reglamento Europeo de Protección de Datos

Análisis del nuevo Reglamento Europeo de Protección de Datos

Publicado: 7 de Marzo de 2018

El 25 de Mayo de 2018 entra en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), que supone una de las mayores reformas normativas a nivel comunitario en esta materia.

Vamos a analizar los cambios que trae consigo este Reglamento, que deroga la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos, que era hasta ahora la norma comunitaria básica en cuestión de protección de datos.

La primera nota a destacar de este nuevo Reglamento es que su contenido es directamente aplicable en todos los Estados Miembros de la UE, sin necesidad de tener que llevar a cabo una transposición normativa al ordenamiento interno de cada Estado. Por tanto, a partir del 25 de Mayo, el Reglamento resulta de plena aplicación en España.

Y teniendo en cuenta esta circunstancia, lo deseable sería que para esa fecha ya se hubiera aprobado y publicado la Ley que reforme la actual LOPD 15/1999, de 13 de Diciembre, para evitar que puedan producirse distorsiones entre la nueva norma comunitaria y la Ley estatal vigente. Pero, hasta que ello ocurra, el Reglamento UE coexistirá con la Ley 15/1999; lo que, con toda seguridad, causará no pocos problemas de compatibilidad o contradicción entre ambas normas.

Adentrándonos en las novedades que implica, podemos mencionar las siguientes:

1.- Ámbito de aplicación.

Las disposiciones del Reglamento extienden su aplicación al tratamiento de datos personales derivado de actividades realizadas en la Unión Europea, con independencia de que el tratamiento tenga lugar en la Unión o no, o de que el responsable o encargado de tratamiento no establecido en la Unión, siempre que los interesados o titulares de esos datos sean residentes en la UE.

2.- Se suprime la obligación de registro de los ficheros de datos ante la Agencia de protección de Datos.

Esta es quizá una de las novedades más destacadas de la nueva regulación porque acaba con una obligación muy consolidada.

Sin embargo, sí se establece una obligación de registro interno de actividades de tratamiento de datos personales que se realicen en aquellas entidades que cuenten con más de 250 trabajadores o, si tuviera menos de 250 trabajadores, cuando el tratamiento afecte a datos considerados sensibles (de salud, religión o creencias, etnia, afiliación política o sindical, antecedentes penales…).

Hay que mencionar que entre los datos especialmente protegidos se incluyen ahora los datos genéticos o biométricos.

3.- Creación de la figura del “Delegado de Protección de Datos” (DPO).

No se trata de una figura generalizada. Puede ser personal interno o externo de la empresa.

Su labor es asesorar a la entidad en el cumplimiento de la normativa de protección de datos (identificando riesgos y proponiendo soluciones para solucionarlos), notificar a las autoridades competentes en la materia (en España la AEPD) las violaciones de seguridad y tramitar las autorizaciones que sean necesarias.

Se le considera el enlace entre la entidad y la autoridad de control.

Existe un procedimiento de certificación de la formación en protección datos del DPO que en España es gestionado por la ENAC.

Resulta obligatorio en las AAPP y en empresas cuya actividad implique el tratamiento sistemático de datos a gran escala, de carácter especial o relativos a infracciones penales.

4.- Derechos de los ciudadanos.

Los derechos de los interesados reconocidos hasta ahora son los denominados Derechos ARCO, que se refieren al derecho de acceso, al de rectificación, al de cancelación y al de oposición; aunque el nuevo Reglamento introduce modificaciones en el procedimiento para ejercitarlos, simplificándolo y contemplando la posibilidad de presentar las solicitudes de forma electrónica.

El plazo para responder a las peticiones ARCO por el responsable de tratamiento es un mes, que puede ampliarse hasta dos meses.

En el derecho de acceso se reconoce el derecho a obtener una copia de los datos; que antes solo se preveía en el caso de la historia clínica.

Se contempla la posibilidad de formular denuncias a través de asociaciones de usuarios, así como la posibilidad de que el responsable de tratamiento establezca un canon para sufragar los costes que el derecho de acceso implique.

La nueva regulación amplía estos derechos reconociendo el tan mencionado “Derecho al olvido”, el Derecho a la limitación de tratamiento y el Derecho a la portabilidad de los datos.

El “Derecho al olvido”, denominado en el Reglamento como Derecho de supresión reconoce al interesado la facultad de obtener, sin dilación indebida por parte del responsable del tratamiento, la supresión de los datos personales que le conciernan. Se conoce también como Derecho al borrado.

El responsable del tratamiento está obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

a)los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

b)el interesado retire el consentimiento en que se basa el tratamiento, porque ya no obedece a los fines específicos para el que se otorgó dicho consentimiento (Artículo 6, apartado 1, letra a), o Artículo 9, apartado 2, letra a);

c)el interesado se oponga al tratamiento (Artículo 21, apartado 1, o Artículo 21, apartado 2);

d)los datos personales hayan sido tratados ilícitamente;

e)los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;

f)los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1; y que se refieren a los menores.

Este “Derecho al olvido” incluye la supresión de los datos personales también cuando se hayan hecho públicos y, por tanto, también la supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos, en internet y en las redes sociales.

El Derecho a la limitación de tratamiento permite al interesado impedir el tratamiento temporal de sus datos cuando se cumpla alguna de las condiciones siguientes:

a)el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;

b)el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;

c)el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;

d)el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

Todo interesado que haya obtenido la limitación del tratamiento será informado por el responsable antes del levantamiento de dicha limitación.

Finalmente, el Derecho a la portabilidad de los datos reconoce al interesado el derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado; e incluso a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible. 

5.- Desaparece el consentimiento tácito del interesado.

La nueva regulación elimina el “consentimiento tácito” del afectado para llevar a cabo el tratamiento de sus datos personales, y lo sustituye por un consentimiento libre, expreso e inequívoco, acompañado de derecho revocación en cualquier momento.

Las entidades deben revisar la forma en que recaban y conservan el consentimiento del interesado, porque éste debe ser siempre verificable.

Debe ser manifiesto para el tratamiento de datos sensibles.

6.- Se incrementan las obligaciones de información.

Las entidades que realicen el tratamiento de datos personales están obligadas por la nueva norma a facilitar al interesado una mayor información, más completa, más comprensible y más sencilla; especialmente cuando el interesado sea menor de edad.

Cabe facilitar la información en dos fases, en el momento de recabar el consentimiento se facilitará la información más básica, y con posterioridad se ampliará esta información con aspectos tales como la identidad del delegado de protección de datos, la información sobre cesiones o transferencias internacionales de datos

Cabe la utilización de iconos normalizados para informar del tratamiento de los datos.

7.- Incremento sustancial en las sanciones.

En el Reglamento se fijan sanciones que pueden alcanzar hasta los 20 millones de euros. No se establece una cuantía mínima de sanción y se fija como criterio para cuantificarlas un porcentaje  de hasta el 4% del volumen global negocio anual de la entidad infractora.

El Reglamento no excluye de las sanciones a las AAPP, aunque la transposición normativa estatal puede acordarlo asi.

8.- Responsabilidad proactiva y análisis de riesgos.

La citada responsabilidad implica poder acreditar que el tratamiento de datos es conforme al Reglamento, especialmente en el tratamiento de datos sensibles. 

El análisis de riesgos supone establecer mecanismos para analizar los posibles riesgos para los datos personales que supone el tratamiento y establecer las medidas de protección adecuadas a su nivel y a la finalidad del tratamiento.

Finalmente, se establece la realización de evaluaciones de impacto en la protección de datos que puede tener un determinado sistema de tratamiento, producto o servicio, antes de su implantación.

9.- Reporte de los problemas o brechas de seguridad.

Se establece la obligación del responsable de tratamiento de notificar los fallos de seguridad a la AEPD en un plazo máximo de 72 horas y también a los afectados, si se ponen en riesgo sus derechos.

10.- Regulación más estricta de de las transferencias internacionales de datos fuera de la UE.

Adaptación de las pymes y profesionales

Las pymes y los autónomos y profesionales son los responsables de tratamiento de los datos personales que utilizan en el desarrollo de sus actividades y ello les obliga a adaptarse a las previsiones del nuevo Reglamento Europeo.

Para llevar a cabo esta adaptación deben tener en cuenta:

1.- Si están obligadas o no a disponer de Delegado de Protección de Datos.

2.- Que ha desparecido la obligación de registrar los ficheros de datos y se ha sustituido por el registro interno de actividades de tratamiento. Deberán valorar si están obligadas o no a llevar este registro, conforme a los requisitos señalados anteriormente.

3.- Revisar las razones a las que obedece el tratamiento de datos y si se posee o no el consentimiento expreso  del afectado.

4.- Revisar si la información que se ofrece a los interesados en la recogida de datos cumple con los requisitos de trasparecía que establece el Reglamento.

5.- Revisar si los procedimientos de ejercicio de los derechos de los interesados (ARCO, derecho al olvido y portabilidad de los datos) se ajustan a las exigencias del Reglamento, tanto en su sencillez y accesibilidad como en la posibilidad de cumplir los plazos de respuesta establecidos en la norma.

6.- Revisar las medidas de seguridad realizando el análisis de riesgos y determinar la necesidad de realizar, de forma previa, evaluaciones de impacto respecto a nuevos tratamientos de datos.

Para ello, la AEPD ha desarrollado una herramienta de ayuda denominada Facilita_RGPD., que tiene la finalidad de facilitar la adecuación al RGPD a las empresas y profesionales (responsables o encargados de tratamientos) que traten datos personales de escaso riesgo para los derechos y libertades de las personas.

Facilita_RGPD es una herramienta fácil y gratuita, que permite a quien la utiliza valorar su situación respecto del tratamiento de datos personales que lleva a cabo: si se adapta a los requisitos exigidos para utilizar Facilita_RGPD o si debe realizar un análisis de riesgos.

La herramienta genera diversos documentos adaptados a la empresa concreta, cláusulas informativas que debe incluir en sus formularios de recogida de datos personales, cláusulas contractuales para anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento, y un anexo con medidas de seguridad orientativas consideradas mínimas.

Facilita_RGPD está orientada a empresas que tratan datos personales de escaso riesgo, como por ejemplo, datos personales de clientes, proveedores o recursos humanos.

Tu privacidad es importante para nosotros

Las cookies son importantes para ti, influyen en tu experiencia de navegación. Usamos cookies analíticas, de personalización y publicitarias (propias y de terceros) para hacer perfiles basados en hábitos de navegación y mostrarte contenido útil. Recogeremos tu elección anónimamente. Haz clic en “Aceptar” o haz clic en "Configurar Cookies" para autorizar uno a uno los permisos.Para conocer todas nuestras cookies consulta este enlace

Configurador avanzado de cookies propias y de terceros
Aquí puedes modificar parámetros que afectarán directamente a tu experiencia de navegación en esta web
Cookies técnicas (necesarias)
Las cookies técnicas son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos o almacenar contenidos para la difusión de vídeos o sonido.
NombreOrigenFunción de la cookieDuración
csrftokenQdqMediaEsta cookie está asociada con la plataforma de desarrollo web Django para Python. Está diseñado para ayudar a proteger un sitio contra un tipo particular de ataque de software en formularios web1 año
sessionidQdqMediaIdentificador de sesión anónimo necesario para el correcto funcionamiento del sitio web.30 minutos
qdq_consentQdqMediaEsta cookie se añade en el momento de que el usuario ha aceptado el uso de cookies por parte del sitio web. Sirve para recordar la configuración establecida y evitar pedirle aceptación cada vez que ingrese en el sitio web.2 años
qdq_consent_sessionQdqMediaEsta cookie sirve para evitar pedir el uso de cookies, una vez aceptado, mientras navega por la web.session
_pk_ses*MatomoSe utiliza para ayudar a los propietarios de sitios web a rastrear el comportamiento de los visitantes y medir el rendimiento del sitio. Es una cookie de tipo patrón, donde el prefijo _pk_ses es seguido por una serie corta de números y letras, que se cree que es un código de referencia para el dominio que configura la cookie.30 minutos
_pk_id*MatomoSe utiliza para ayudar a los propietarios de sitios web a rastrear el comportamiento de los visitantes y medir el rendimiento del sitio. Es una cookie de tipo patrón, donde el prefijo _pk_id es seguido por una serie corta de números y letras, que se cree que es un código de referencia para el dominio que configura la cookie.13 meses
Cookies de analíticaCon tu selección no podemos ofrecerte una mejora continua en la experiencia de navegación.
Son aquellas que permiten el seguimiento y análisis del comportamiento de los usuarios de la página web para la elaboración de perfiles de navegación, con el fin de introducir mejoras en función del análisis de los datos de uso que se haga sobre la web.
NombreOrigenFunción de la cookieDuración
_gaGoogle Tag ManagerEsta cookie se utiliza para distinguir usuarios únicos mediante la asignación de un número generado aleatoriamente como un identificador de cliente. Se incluye en cada solicitud de página en un sitio y se utiliza para calcular los datos de visitantes, sesiones y campañas para los informes analíticos de los sitios.2 años
_gatGoogle Tag ManagerDe acuerdo con la documentación, se utiliza para reducir la velocidad de solicitud, lo que limita la recopilación de datos en sitios de alto tráfico.10 minutos
_gidGoogle Tag ManagerEEstablecido por Google Analytics. Se utiliza para distinguir usuarios.1 día
Cookies de publicidadCon tu selección pierdes la personalización de la publicidad.
Son cookies servidas y administradas por prestadores de servicios publicitarios y/o de análisis ajenos al responsable de este sitio web. Estas cookies permiten la gestión eficaz y adaptada a las preferencias del usuario de campañas publicitarias e informativas. Pueden almacenar información del comportamiento de los usuarios para desarrollar un perfil específico para mostrar publicidad en función de sus intereses.
NombreOrigenFunción de la cookieDuración
_fbpFacebookUtilizado por Facebook para ofrecer una serie de productos publicitarios, como ofertas en tiempo real de anunciantes externos?
NIDGoogleGoogle rastrea a los usuarios ampliamente a través de sus propios productos y sitios, y las numerosas tecnologías integradas en muchos millones de sitios web en todo el mundo. Utiliza los datos recopilados de la mayoría de estos servicios para perfilar los intereses de los usuarios de la web y vender espacios publicitarios a organizaciones basadas en dichos perfiles de interés, así como para alinear los anuncios con el contenido de las páginas donde aparecen los anuncios de sus clientes.1 año
1P_JARGoogleEsta cookie lleva a cabo información sobre cómo el usuario final utiliza el sitio web y cualquier publicidad que el usuario final haya visto antes de visitar dicho sitio web.1 mes
CONSENTGoogleEsta cookie lleva a cabo información sobre cómo el usuario final usa el sitio web y cualquier publicidad que el usuario final haya visto antes de visitar dicho sitio web.20 años
frFacebookSirve para visualizar el botón de `me gusta` y mostrar el número de seguidores. También ayuda a Facebook a proporcionarle anuncios más personalizados, pero también a medir y mejorar los anuncios.3 meses
_bPinterestCookie para la funcionalidad de Pinterest.Continuo
_pinterest_sessPinterestEstas cookies permiten a los usuarios compartir imágenes a través de Pinterest / el botón 'Pin It', y Pinterest puede recopilar información estadística sobre el uso de su servicio.1 año
IDEDoubleClickSe utiliza por Google DoubleClick para registrar e informar las acciones de los usuarios en el sitio web después de ver y hacer clic en uno de los anuncios de los publicistas con el propósito de medir la eficacia de un anuncio y de presentar anuncios dirigidos al usuario.1 año
haz clic para copiar mailmail copiado