Tras dos años de periodo transitorio, la nueva normativa de Protección de Datos entra en vigor este viernes en Europa. Llega con novedades. Las empresas tienen que tomárselo en serio si no quieren asumir sanciones por su incumplimiento que pueden llegar a 20 millones de euros o el 4% de la facturación anual global de la compañía, optándose por la mayor cuantía, o en casos de menos gravedad la multa podría ser de hasta 10 millones de euros o el 2% del volumen de negocio anual global.
Consulte todas las novedades sobre el Reglamento en la revista Iuris&Lex
El nuevo Reglamento General de Protección de Datos (RGPD) supone un antes y un después para la cultura social y empresarial europea en materia de protección de datos, pues pasamos de un modelo meramente reactivo a uno preventivo, y de responsabilidad activa. "Europa reafirma su soberanía digital y se prepara para la era digital". Así dio el miércoles la bienvenida al nuevo Reglamento la secretaria de Justicia de la Unión Europea, Vera Jourová.
El RGPD es una norma directamente aplicable, sin moratoria alguna, que no requiere de normas internas de transposición ni tampoco, en la mayoría de los casos, de normas de desarrollo o aplicación. Por ello, los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales, como venía sucediendo hasta ahora con la Directiva 95/46. No obstante, la ley que sustituirá a la actual Ley Orgánica de Protección de Datos (LOPD) sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite, aunque aún se encuentra en trámite por el Consejo de los Diputados.
El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas. De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten. Sin embargo, el RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.
Consentimiento del tratamiento de los datos personales
Uno de las exigencias a tener en cuenta del Reglamento es que el consentimiento debe ser "inequívoco", es decir aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa.
A diferencia del Reglamento de Desarrollo de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción. Y además, según anuncia la Agencia de Protección de Datos en sus guías, se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito: en tratamiento de datos sensibles, adopción de decisiones automatizadas y transferencias internacionales.
Añade un ejemplo de consentimiento la AEPD, que puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado, es decir, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación.
De este modo, los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa, pero no se puede seguir obteniendo consentimientos por omisión y revisar esos tratamientos para que, a partir de mayo 2018, se hayan adecuado a las previsiones del RGPD.
Datos de menores de edad
El Reglamento de Protección de Datos se refiere varias veces en su redacción a los tratamientos de los datos de los menores. En concreto, en la regulación de los intereses legítimos del responsable como base legal para el tratamiento, se señala que no será aplicable cuando prevalezcan los derechos, libertades o intereses de los interesados que requieran protección de datos personales, especialmente cuando esos interesados sean niños, y al señalar que la información que se ofrece a los interesados en relación con el tratamiento o con el ejercicio de derechos deberá ser especialmente concisa, transparente, inteligible y proporcionada con lenguaje claro y sencillo cuando los interesados sean niños.
A su vez, se refleja en el contexto del derecho al borrado de los datos personales, al establecer que las actividades de formación y sensibilización dirigidas a los niños deberán estar entre las prioridades de las autoridades de protección de datos, y en el contexto de las explicaciones que ofrecen los Considerandos del RGPD cuando se refieren a la realización de perfiles.
Por lo tanto, la mención más explícita a los menores (niños, en la terminología del RGPD) está relacionada con la obtención del consentimiento en el ámbito de la oferta directa de servicios de la sociedad de la información. El RGPD prevé que en ese entorno, el consentimiento solo será válido a partir de los 16 años, debiendo contar con la autorización de los padres o tutores legales por debajo de esa edad, y el RGPD permite a los estados miembros establecer una edad inferior, siempre que no sea menor de 13 años.
Es de esperar que muchos estados miembros hagan uso de esta posibilidad y adopten regulaciones propias. En el caso de España, el Reglamento de Desarrollo de la LOPD fija la edad a partir de la que el consentimiento de los menores es válido en los 14 años con carácter general. Por ello, es razonable suponer que la norma que reemplace a la LOPD contenga también una regulación específica en esta materia.
Entre las obligaciones que encarna el RGPD, éste requiere que los responsables hagan esfuerzos razonables, teniendo en cuenta la tecnología disponible, para verificar que, para los niños menores de la edad que se fije como límite, el consentimiento se ha dado o se ha autorizado por los padres o tutores del menor (no es una obligación en sí, sino tan sólo de medios o procedimientos razonables para establecer la intervención real de padres o tutores).
Derechos de los usuarios
El control de los datos estará íntegramente en manos del portador de los mismos. Antes del RGPD debían facilitarse todos los datos de base del afectado, pero no copias o documentos -excepto en el caso de la historia clínica-.
Sin embargo, el nuevo Reglamento ahora prevé el derecho a obtener una copia de los datos personales objeto del tratamiento, y los responsables podrán atender a este derecho facilitando el acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales.
El derecho al olvido es el derecho que tiene toda persona a modificar, cancelar o borrar sus datos personales en posesión de terceros. El Tribunal de Justicia de la Unión Europea en su sentencia de 13 de mayo de 2014 (caso Google Spain) estableció que el tratamiento de datos que realizan en ese caso en un motor de búsqueda, está sometido a las normas de la UE y que por lo tanto las personas tienen derecho a solicitar bajo ciertas condiciones que los enlaces a sus datos personales no aparezcan en los resultados de búsqueda.
Es decir, que este derecho se configura, según la Agencia como una manifestación de los derechos de cancelación u oposición en el entorno online.
A su vez, el derecho de limitación de tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían. Así, se puede solicitar la limitación cuando el interesado ha ejercido los derechos de rectificación u oposición y el responsable está en proceso de determinar si procede atender a la solicitud, cuando el tratamiento es ilícito, lo que determinaría el borrado de los datos, pero el interesado se opone a ello. Y por último cuando los datos ya no son necesarios para el tratamiento, que también determinaría su borrado, pero el interesado solicita la limitación porque los necesita para la formulación, el ejercicio o la defensa de reclamaciones.
En el tiempo que dure la limitación, el responsable sólo podrá tratar los datos afectados, más allá de su conservación con el consentimiento del interesado, para la formulación, el ejercicio o la defensa de reclamaciones, para proteger los derechos de otra persona física o jurídica, o por razones de interés público importante de la Unión o del Estado miembro correspondiente. No obstante, hay que tener en cuenta que la limitación de tratamiento es un derecho de los interesados que no debe confundirse con el bloqueo de datos que existe en la legislación española.
Por último, el derecho de portabilidad es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica. Y así, este derecho sólo puede ejercerse cuando el tratamiento se efectúe por medios automatizados, se base en el consentimiento o en un contrato, o cuando el interesado lo solicita respecto a los datos que haya proporcionado al responsable y que le conciernan, incluidos los datos derivados de la propia actividad del interesado.
Transferencias de datos internacionales
El modelo de transferencias internacionales diseñado por el RGPD sigue los mismos criterios que el establecido por la Directiva 95/46 y por las legislaciones nacionales de trasposición.
Las decisiones de adecuación que la Comisión ha adoptado con anterioridad a la aplicación del RGPD seguirán siendo válidas, y por tanto, podrán seguir realizándose transferencias basadas en ellas, en tanto la Comisión no las sustituya o derogue. Las autorizaciones de transferencias que las autoridades nacionales de protección de datos hayan otorgado sobre la base de garantías contractuales seguirán siendo válidas en tanto las autoridades no las revoquen. Así, las garantías sobre la protección que recibirán los datos en destino las debe ofrecer el exportador, que podrá ser tanto un responsable como un encargado de tratamiento.
El Reglamento exige que los datos solo podrán ser comunicados fuera del Espacio Económico Europeo: A países, territorios o sectores específicos (el RGPD incluye también organizaciones internacionales) sobre los que la Comisión haya adoptado una decisión reconociendo que ofrecen un nivel de protección adecuado, bien cuando se hayan ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destino. También, según la AEPD, se realizará comunicaciones cuando se aplique alguna de las excepciones que permiten transferir los datos sin garantías de protección adecuada por razones de necesidad vinculadas al propio interés del titular de los datos o a intereses generales.
