miércoles, 27 de febrero de 2013

6 Novedades que traerá el Reglamento Europeo de Protección de Datos a la empresa

Por Belén Viyella Molina, Asociada Senior de Information Technology de ECIJA
 
Resumen:
Las medidas más relevantes y significativas que el nuevo Reglamento Europeo obligará a adoptar a las empresas e instituciones de los 27 Estados Miembros.
 
 La propuesta de Reglamento Europeo de Protección de Datos, que publicó en enero del 2012 el Parlamento Europeo junto con el Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos, tendrá repercusiones, no sólo a nivel europeo sino a nivel nacional, con un nivel de impacto bastante elevado en nuestras empresas.
 
A continuación, analizamos los principales cambios legislativos que, a la entrada en vigor del Reglamento (fecha límite para su aprobación mayo de 2014), serán de aplicación directa y prevalente sobre nuestro actual sistema de protección de datos personales (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD).
 
1.- Aplicación de nuevos Principios: Si hasta el momento contábamos con principios básicos como los de calidad, información, deber de secreto y consentimiento para el tratamiento de datos personales, la norma europea añade nuevos principios como el de rendición de cuentas o “Accountability”, aludiendo a la responsabilidad de las compañías en la implantación de mecanismos que garanticen el cumplimiento de los principios y obligaciones en materia de protección de datos, así como a los métodos de validación que garanticen su fiabilidad.
 Esta responsabilidad, será igualmente aplicable para empresas tanto pequeñas como grandes, si bien es cierto que, resulta más sencillo implantar políticas y métodos de control en multinacionales que operan a escala mundial, mediante el establecimiento de mecanismos internos y externos para evaluar su fiabilidad y demostrar su efectividad cuando se solicite por las autoridades de control. Además, los medios y recursos de los que disponen permiten realizar periódicamente programas de concienciación en la materia.
 
Por otro lado, aparece el Principio de Transparencia, centrado en facilitar las relaciones entre el responsable de los datos y el interesado, así como entre el responsable de los datos y las autoridades de control.
 
Este principio se materializa en cuatro conceptos:
a) Eliminación de la obligación de notificar y registrar los ficheros que contienen datos personales ante la autoridad de control (Agencia Española de Protección de Datos-AEPD).
 b) Conservación de la documentación de todas las operaciones de tratamiento de datos efectuadas bajo su responsabilidad. La responsabilidad de conservar la documentación, a partir de la entrada en vigor del nuevo Reglamento, recae tanto en el Responsable como en el Encargado del tratamiento.
 c) Establecimiento de mecanismos sencillos para el ejercicio de los derechos. Un ejemplo de ello, es la posibilidad de ejercitar los derechos vía electrónica (tanto para envío como para respuesta), y la obligación de informar a los solicitantes de la posibilidad de presentar una reclamación ante la autoridad de control y de recurrir a los tribunales. Asimismo, la Comisión podrá establecer formularios y procedimientos normalizados para las comunicaciones a los interesados, incluido el formato electrónico, adoptando medidas específicas para las microempresas, las pequeñas y medianas empresas.
 d) Cooperación con autoridades de control. Con el cambio normativo los responsables y encargados del tratamiento no sólo deberán colaborar con su autoridad de control nacional (en nuestro caso AEPD), sino que ahora también entrará en juego “rendir cuentas” ante la Comisión y el Consejo Europeo de Protección de Datos. Si bien esto dota de transparencia a las actividades que impliquen tratamiento de datos personales, también genera un estricto deber de cumplimiento para dichos agentes.
 
2.- Tratamiento de datos de menores: Otra de las novedades importantes es que se fija la edad de los menores en menos de 13 años (frente a la actual regulación española que la fija en menos de 14), en relación a la oferta directa de servicios de la sociedad de la información. Además, añade el borrador, que el tratamiento de los datos de estos menores solamente será lícito si el padre o tutor del menor ha prestado su consentimiento previo.
 
3.- Nuevos Derechos para los ciudadanos: Esta novedad, a nuestro entender y al de muchos expertos, resulta uno de los puntos más importantes y relevantes del borrador de Reglamento Europeo. 
Comenzamos por el famoso “Derecho al olvido”, del que ya se venía hablando desde hace tiempo, pero que, en realidad, hasta la publicación del borrador no habíamos visto materializado.
Este derecho consiste en la supresión de datos bien porque ya no son necesarios conforme a la finalidad para la que fueron recabados ya sea porque el interesado ha revocado su consentimiento para el tratamiento; porque ha expirado el plazo para el tratamiento legal de los datos; porque el interesado ha ejercitado su derecho de oposición, o bien porque el tratamiento de los datos no se está realizando conforme al Reglamento que estamos comentando.
Pero este derecho va más allá y obliga a los responsables de los datos que han difundido la información a terceros a comunicarles la obligación de suprimir cualquier enlace a los datos publicados, así como a eliminar cualquier copia o réplica de dichos datos. Su traducción directa consiste en conseguir eliminar de la red y de los buscadores cualquier rastro que haya de los datos de la persona que quiere ser “olvidada” de manera definitiva.
 Otro derecho importante es el de oponerse a la “Creación de perfiles”, que consistan en evaluar, de manera automatizada, determinados aspectos personales propios de dicha persona física o a analizar o predecir en particular su rendimiento profesional, su situación económica, su localización, su estado de salud, sus preferencias personales, su fiabilidad o su comportamiento.
 Por último, no podemos olvidarnos del derecho a la “Portabilidad de los datos”, solicitado con el fin de obtener del responsable del tratamiento una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos. Encontramos, así, su aplicación práctica, en el deseo de un particular de cambiar de operadora de telecomunicaciones, pudiendo realizar tal portabilidad, de una manera ágil y sencilla para el usuario final.
 
4.- Notificación de Brechas de Seguridad: La mayor diferencia que encontramos entre nuestro Reglamento de protección de datos y el borrador Europeo radica en las medidas de seguridad.
 De hecho, el borrador no hace ni un desglose de las mismas ni establece diversos niveles de seguridad en función del tipo de datos personales que se trate, sino que impone al responsable y al encargado que las implementen asegurando un nivel de protección adecuado atendiendo a tres criterios: los riesgos que se presenten, la naturaleza de los datos y los costes de implementación.
El Reglamento otorga a la Comisión la facultad de elaborar actos normativos para establecer medidas de seguridad de carácter técnico y organizativo, teniendo en cuenta para ello, tanto el desarrollo de la tecnología, como las soluciones ofrecidas por la Privacy by Design y Privacy by Default.
 En cuanto a la obligación de comunicar las brechas de seguridad, el borrador diferencia entre notificar a la autoridad de control la incidencia detallada de lo que ha sucedido realmente en un plazo no superior a 24 horas (veremos qué plazo se fija definitivamente), y notificarlo al interesado cuando éste se haya visto afectado, por la vulneración de las medidas de seguridad.
Si bien supone una modificación sustancial de nuestro actual reglamento, no podemos olvidar que estas obligaciones ya estaban previstas en la denominada Directiva 2009/136/CE (“cookies”), por lo que este precepto simplemente es una armonización y homogenización de las directivas europeas sobre seguridad y comunicaciones electrónicas.
 
5.- La Figura del Delegado de Protección de Datos: La propuesta de Reglamento le dedica una sección entera a esta nueva figura, dada la relevancia que tiene para el futuro.
Simplemente mencionar que como rasgos fundamentales, destacamos la obligatoriedad de contar con un “Data Protection Officer” (DPO), por un plazo mínimo de 2 años, tanto en autoridades y organismos públicos, como en empresas con al menos 250 empleados. Se permite contar con un solo DPO en los casos de grupos de empresas.
 En cuanto al perfil del DPO, mucho queda por detallar a este respecto, por lo que quedamos a la espera de qué dirá el texto definitivo. Lo que sí podemos afirmar, es que entre las funciones que le serán encomendadas se encuentran: supervisar la implementación y aplicación de las políticas internas, la formación del personal, las auditorías, la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos, velar por la conservación de la documentación, supervisar la realización de la evaluación de impacto y actuar como punto de contacto para la autoridad de control, entre otras.
 
6.- Evaluación de Impacto: Nuestro análisis finaliza con comentar en qué consiste realizar esta evaluación.
 Pues bien, realizar una evaluación de riesgos por parte del responsable o el encargado del tratamiento, con carácter previo al tratamiento, permitirá que las medidas que se adopten tengan como finalidad evitar la pérdida de datos, los accesos y cesiones no autorizados.
 No obstante, ¿cuándo plantea el borrador que habrá que evaluar los riesgos del tratamiento de los datos? Sencillamente, en los casos en los que el tratamiento entrañe riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines. En particular, cuando el tratamiento sirva para la creación de perfiles de los interesados, en el tratamiento de datos sensibles, datos genéticos o biométricos, en los casos de video-vigilancia y en el tratamiento de datos de menores. En todos estos casos será necesario realizar un “Informe de Impacto de Privacidad”
 
Fuente: www.microsoft.com/

No hay comentarios: