A 10 meses de su aplicación, ¿estás preparado?
El 4 de mayo de 2016 el Diario Oficial de la Unión Europea publicaba el Reglamento General de Protección de Datos (RGPD) (1), que entró en vigor a los veinte días de su publicación, y será de aplicación a partir del 25 de mayo de 2018. Dicho Reglamento deroga la actual normativa vigente como la Directiva 95/46/CE y las normas españolas como la Ley Orgánica de Protección de Datos española.
Este período de dos años que han establecido entre la entrada en vigor del Reglamento y la aplicación es para que los Estados miembros de la Unión Europea, las Instituciones Europeas y las organizaciones que gestionan datos personales vayan adaptándose para poder cumplir con él.
Novedades que aporta el Reglamento
Una de las novedades de la nueva normativa es que amplía el ámbito de aplicación territorial, es decir, que tendrán que acatarlo aquellas empresas que hasta ahora podían estar tratando datos personales de ciudadanos de la Unión Europea, pero que se regían por normativas de otros países que podían no ofrecer la misma protección que la normativa que se aplicaba en Europa.
Otras novedades que también incorpora el Reglamento son el derecho al olvido y el derecho a la portabilidad. Seguramente del primero habrás oído hablar, pero el segundo es menos conocido.
Derecho al olvido
A muchos de vosotros ya os sonará, sobretodo a los que leísteis mi artículo de febrero de Controla lo que Google sabe de ti. El derecho al olvido(2) son los ya conocidos derechos de cancelación y oposición a nuestros datos, pero aplicados a los buscadores de internet.
Los ciudadanos tenemos derecho a solicitar que se eliminen, en las listas de resultados mostrados por los buscadores de internet, cualquier enlace que muestre información nuestra que sea falsa, obsoleta, incompleta, o sencillamente que no queramos que aparezca porqué no es de interés público.
Derecho a la portabilidad de datos
Este derecho, que al menos para mí era desconocido, tiene relación con el derecho de acceso a la información. Todo ciudadano puede solicitar recuperar los datos personales que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común, y a permitir su traslado a otro responsable del tratamiento sin impedimentos. También establece que el límite de tiempo para responder una solicitud de portabilidad ha de resolverse sin dilación y en un plazo máximo de un mes desde la recepción de la citada resolución.
El objetivo principal de este derecho a la portabilidad de datos es el facilitar a un ciudadano poder cambiar de un proveedor de servicios a otro, lo que reforzará la competencia entre proveedores de servicios y la libre circulación de datos personales dentro de la Unión Europea.
Una práctica recomendable es que las organizaciones que gestionan datos, los responsables de su tratamiento vayan implementando ya la manera de responder a la posibles peticiones de portabilidad de datos que puedan empezar a recibir. Un ejemplo sería disponer de una herramienta que permita al usuario descargarse él mismo todos los datos de que dispone la organización.
¿Como afecta a mi empresa el Reglamento?
Puede parecer que cuando empiece a aplicarse el Reglamento las empresas tengan un importante incremento de tareas relacionadas con la protección de datos, pero en realidad sólo supone un mayor compromiso porque en la mayoría de casos solamente cambiará la manera de gestionar dicha protección de datos.
De entrada nos encontramos con medidas a tener en cuenta que ya son vigentes actualmente, medidas que vienen reemplazan a otras existentes, y por último medidas que ya se están aplicando actualmente en las empresas pero que formalmente no quedaban plasmadas en ninguna normativa existente hasta el momento. Un ejemplo sería el tener en cuenta la privacidad desde el diseño, o la existencia de un delegado de protección de datos (el Reglamento prevé en su artículo 37 que el responsable del tratamiento de datos designará un delegado de protección de datos).
El Reglamento establece que la obligación y el modo de aplicación de las medidas que contiene dependerá de las características de cada organización en cuanto a:
– tipo de tratamiento hacen de los datos,
– coste de implementación de las medidas,
– riesgo que dicho tratamiento representa para los derechos de los titulares de los datos.
Análisis de riesgos
Es necesario que cada empresa que hace tratamiento de datos haga un análisis de riesgo de dichos tratamientos para establecer que medidas aplicar y de que modo. En este sentido tanto las Autoridades de protección de datos europeas por un lado, como la Agencia Española por otro, están trabajando para disponer de herramientas que faciliten tanto la identificación como la valoración de los riesgos.
Revisar como obtenemos el consentimiento
Hace falta también revisar como obtenemos y registramos el consentimiento de los ciudadanos. El Reglamento establece que el consentimiento ha de ser explícito en algunos casos como cuando se trate de datos sensibles, y no deducirse del silencio como algunas empresas establecían hasta ahora.
También hay que registrar el consentimiento puesto que hemos de ser capaces de demostrar que se nos dio. Ha de ser verificable en caso de ser auditados.
Si queréis más información sobre como os afecta el Reglamento, y como estar preparados ante su aplicación el 25 de mayo del próximo año, podéis consultar la documentación existente en la página web de la Agencia Española de Protección de Datos:
https://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php.
Formación de interés
Protección y Reacción en Entornos Ciber
Fuentes referenciadas: (1)https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/union_europea/reglamentos/common/pdfs/Reglamento_UE_2016-679_Proteccion_datos_DOUE.pdf (2)https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/derecho_olvido/index-ides-idphp.php Fuentes consultadas: https://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/directricesportabilidad.pdf https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_annex_en_40854.pdf