El próximo 25 de mayo de 2018, será de aplicación la nueva legislación europea en materia de protección de datos (el Reglamento general de protección de datos). Dada la cercanía de la fecha es oportuno ir adaptando los procesos a la nueva situación legal.
Por medio de este breve artículo, desde el departamento de nuevas tecnologías de ARPA Abogados Consultores nos gustaría destacar algunos de los cambios más importantes que trae la nueva regulación.
- Ámbito territorial.
- El Reglamento extiende su aplicación a responsables del tratamiento ubicados fuera de la Unión Europea en algunos supuestos que con la normativa actual se quedaban fuera. Así las cosas, por ejemplo cuando una empresa radicada fuera de la UE dirija sus servicios a ciudadanos de la UE a través de una página web, le será aplicable el Reglamento.
- Sobre la recogida de datos.
- Cada vez que se vaya a recoger datos de carácter personal se tendrá que informar de algunas cuestiones adicionales a las que se venían haciendo hasta la fecha (como por ejemplo, los datos de contacto del delegado de protección de datos de la organización o la estimación del plazo durante el que se conservarán los datos).
- Se exige una mayor claridad y sencillez en las cláusulas que se empleen cuando se soliciten datos a los interesados. Deberá informarse de manera «concisa, transparente, inteligible, de fácil acceso» y con un lenguaje «claro y sencillo».
- La forma de retirar el consentimiento para el tratamiento de los datos deberá ser tan sencilla como la empleada para su otorgamiento.
- En consecuencia, entre otras cuestiones, será necesario revisar todas las cláusulas de protección de datos de cada organización para adaptarlas a la nueva situación.
- Derecho al olvido (derecho de supresión).
- Se regula el ejercicio de este derecho y cómo deberá conciliarse con otros derechos.
- Portabilidad de los datos.
- Los interesados podrán solicitar mover sus datos a otro responsable. De esta manera, se abre la posibilidad de que se trasladen los datos de un servicio en la nube a otro sin que puedan oponerse cuestiones legales o técnicas para ello.
- Protección de datos desde el diseño y por defecto.
- Se pretende que los responsables del tratamiento se anticipen a los problemas y se tenga en cuenta desde el propio diseño del producto o del servicio las cuestiones de protección de datos.
- Evaluación del impacto.
- Antes de proceder a realizar un tratamiento de datos que pueda suponer un alto riesgo, se deberá analizar previamente la situación (por ejemplo pidiendo asesoramiento al delegado de protección de datos).
- Relaciones Encargado – Responsable.
- Va a ser necesario actualizar los contratos de encargado de tratamiento suscritos con todos aquellos proveedores que tengan acceso a los datos de nuestra empresa.
- Por ejemplo, el encargado deberá permitir auditorías e inspecciones de los responsables del tratamiento.
- Violaciones de seguridad.
- El responsable tendrá que comunicar en un plazo no superior a 72 horas a la autoridad de control competente cualquier violación de seguridad de los datos personales y en los casos que entrañe alto riesgo para los derechos de las personas, se deberá comunicar a los interesados los hechos sin dilación indebida.
- “Delegado de Protección de Datos” (“Data Protection Officer»).
- Se crea la figura del Delegado de Protección de Datos y se establece que éste deberá participar en todas las cuestiones relativas a la protección de datos personales de su organización. Será el nexo de unión con las autoridades de control, los interesados y el responsable.
- Esta figura será obligatoria: (i) para las autoridades u organismos públicos (salvo los tribunales); (ii) para aquellas organizaciones que realicen una observación habitual y sistemática de interesados a gran escala o que (iii) traten datos sensibles a gran escala.
- Se permite que un grupo empresarial pueda nombrar un único delegado de protección de datos.
- Se establece que el Delegado podrá ser parte de la plantilla o un externo, pudiendo compatibilizar su actividad con otras tareas. Tendrá independencia para el ejercicio de sus funciones y rendirá cuentas al más alto nivel jerárquico.
- Sanciones.
- Se actualizan las cuantías de las sanciones. Como novedad, indicar que la situaciones más graves pueden sancionarse con multas de hasta 20.000.000 EUR o del 4% del volumen de negocio total anual global del ejercicio financiero anterior (optándose por la de mayor cuantía).