Los cambios tecnológicos acontecidos en los últimos años han hecho necesario que el Parlamento Europeo y el Consejo actualizaran la legislación europea para la protección de datos ante la existencia de unos mayores peligros. Esta actualización legislativa ha dado lugar al nuevo Reglamento General de Protección de Datos (en adelante, el “Reglamento”).
El Reglamento comenzará a aplicarse de manera automática partir del 25 de mayo de 2018 en todos los Estados miembro, es decir, sin necesidad de transposición. En este sentido, las empresas han tenido que ir ya adoptando las medidas necesarias para estar en condiciones de cumplir con sus previsiones.
La mayor innovación del Reglamento se proyecta en dos elementos:
1)El principio de responsabilidad proactiva:
El responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. Este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento lleva a cabo.
2)El enfoque de riesgo:
Las medidas dirigidas a garantizar su cumplimiento deben de tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas.
De acuerdo con este enfoque habrá medidas previstas en el Reglamento que deberán aplicarse cuando exista alto riesgo para los derechos y libertades y otras que deberán modularse en función del nivel y tipo de riesgo.
DESARROLLO DE PRINCIPIOS ANTERIORES:
En general, el Reglamento no introduce principios nuevos, si no que desarrolla de manera más eficaz los que ya había:
1) Prohibición salvo autorización: se prohíbe cualquier procesamiento de datos personales a no ser que esté permitido expresamente. Con el Reglamento este principio de prohibición se aplica indiscriminadamente a cualquier tipo de datos personales.
2) Limitación de la finalidad: las empresas solamente podrán recopilar y editar datos con unos objetivos específicos. Para ello, al empezar a recogerlos deben formularse los objetivos y documentarse su uso futuro.
3) Minimización de datos: no se puede recopilar más datos de los necesarios para conseguir el objetivo previsto. Esto evita la recopilación de datos desmedida.
4) Transparencia: la información a los interesados debe ser concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Anteriormente solo debía ser precisa y transparente.
5) Confidencialidad: las empresas tienen la obligación de proteger los datos personales de sus clientes de robos de manera técnica y organizativa, lo cual es una novedad. En caso de robos de información, es importante que las medidas técnicas y organizativas de protección hayan resultado adecuadas para el riesgo planteado y tipo de datos almacenados.
DELEGADOS DE LAS EMPRESAS:
La Directiva 95/46 se centraba en la actividad de los delegados para la protección de datos. Sin embargo, el Reglamento contiene obligaciones para ellos, como mantener un registro de actividades de tratamiento y determinar las medidas de seguridad aplicables a los tratamientos que realizan.
En relación con las empresas, aun cuando la actividad principal no esté relacionada con el tratamiento de datos, el Reglamento establece la obligación de nombrar a un delegado de protección de datos cuando haya al menos 10 personas que se ocupen del tratamiento automatizado de los datos personales. Esto afecta a muchas empresas de mediana envergadura.
Además, el Reglamento establece la obligación de que el responsable de los datos otorgue un contrato con los delegados. El Reglamento va más allá estableciendo además el contenido mínimo que deben tener estos contratos.
Los responsables deberán, además, realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo. El tipo de análisis variará en función de los datos que se traten, pero las grandes organizaciones deberán realizar dichos análisis utilizando alguna de las metodologías de análisis de riesgo existentes.
NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD DE LOS DATOS:
El Reglamento defina las violaciones de seguridad de los datos (o quiebras de seguridad) de manera amplia, incluyendo todo incidente que ocasione “la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. En la práctica, la pérdida de un ordenador portátil que contenga datos de clientes, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros serán violaciones de seguridad, de conformidad con lo establecido en el Reglamento.
Cuanto se produzca una violación de la seguridad de datos, las empresas deberán notificarlo a la autoridad de protección de datos competente dentro de las 72 horas siguientes al conocimiento de la quiebra de seguridad.
Hugo Ester
Vilá Abogados
Para más información por favor contacte con:
23 de marzo de 2018
