Reglamento General de Protección de Datos (RGPD)

 ADAPTACION LEGISLATIVA ESPAÑOLA 

El 25 de mayo de 2016 entró en vigor el Reglamento  General de Protección de Datos (RGPD),  para sustituir la normativa vigente y  se aplicará  a partir del 25 de mayo de 2018.  El 10 de noviembre de 2017 el  Consejo de  Ministros aprobó  la remisión  a  las Cortes Generales del Proyecto de Ley Orgánica de Protección  de  Datos, que  tiene  por  objeto  adaptar  la  legislación  española  a  las  disposiciones  del Reglamento Europeo de Protección de datos (RGPD). Estas son las novedades más destacadas:

Derecho  al  olvido  y  a  la  portabilidad – arts. 15 y 17.   El  derecho  al  olvido  se  presenta  como  la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos  cuando, entre  otros casos, estos ya  no sean necesarios para la finalidad con la que  fueron  recogidos, cuando  se   haya retirado  el consentimiento  o cuando  estos  se  hayan  recogido de forma ilícita. Por su parte, el  derecho  a  la  portabilidad  implica que el interesado que haya proporcionado sus datos  a  un  responsable que  los esté tratando de  modo  automatizado  podrá  solicitar  recuperar  esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.

La responsabilidad activa (Accountability) – arts. 28 a 32   Esta responsabilidad activa está integrada por una serie de nuevas obligaciones para los responsables del fichero y encargados del tratamiento en lo que a tratamiento de datos se refiere impuestas por la normativa europea. Por ello, se ha de proceder a implementar en la entidad todas las medidas necesarias para cumplir con los principios de protección de datos y poder demostrarlo -debiendo, por tanto, documentar toda su actuación. Además se obliga a que el responsable de tratamiento deba notificar los fallos de seguridad a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas.

El consentimiento – art. 6    Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es inequívoco el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos. Además, el Reglamento prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.  Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

El consentimiento en el caso de menores.   El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores.  En el caso de las empresas que recopilen datos personales, es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.

El delegado de protección de datos (DPO) – capítulo III del título V    El artículo 34 incorpora un listado enumerando los sujetos obligados a designar un DPO entre los que cabe destacar los colegios profesionales, las Universidades, las entidades aseguradoras, los distribuidores y comercializadores de energía eléctrica y los operadores que desarrollen la actividad de juego a través de canales electrónicos.  Se indica también que, tanto el nombramiento como el cese del DPO deberá ser notificado a la AEPD en un plazo de diez días. Por su parte, la AEPD mantendrá un listado actualizado de los DPO que se podrá consultar vía electrónica.  Por último, destacar que el artículo 35 del Proyecto de Ley, sobre la necesidad de demostrar los conocimientos y experiencias de la persona designada como DPO, menciona los procedimientos voluntarios de certificación como medio para acreditarlo.

Curiosidades del Proyecto de Ley

  1. En materia de video-vigilancia, se incluye expresamente la posibilidad de que el empleador video-vigile a sus empleados.
  2. Ya no se habla de «datos especialmente protegidos» sino de «categorías especiales de datos» y la relación de datos integrados en «categorías especiales de datos» no es exactamente la misma en el Reglamento Europeo que en el Proyecto de
  3. Se establece que «Las infracciones cometidas y los procedimientos ya iniciados a la entrada en vigor de esta ley orgánica se regirán por la normativa anterior, salvo que esta ley orgánica contenga disposiciones más favorables para el interesado».
  4. Se incorpora como principio de protección de datos la inexactitud de los datos.
  5. Introduce un artículo específico y califica como obligación el «bloqueo de datos«.