Por Belén Viyella Molina, Asociada Senior de Information Technology de ECIJA
| Resumen: |
Las
medidas más relevantes y significativas que el nuevo Reglamento Europeo
obligará a adoptar a las empresas e instituciones de los 27 Estados
Miembros.
|
La propuesta de Reglamento Europeo de Protección de Datos,
que publicó en enero del 2012 el Parlamento Europeo junto con el
Consejo, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de
datos, tendrá repercusiones, no sólo a nivel europeo sino a nivel
nacional, con un nivel de impacto bastante elevado en nuestras empresas.
A continuación, analizamos los principales cambios legislativos
que, a la entrada en vigor del Reglamento (fecha límite para su
aprobación mayo de 2014), serán de aplicación directa y prevalente sobre
nuestro actual sistema de protección de datos personales (Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
y Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la LOPD).
1.- Aplicación de nuevos Principios: Si hasta el momento
contábamos con principios básicos como los de calidad, información,
deber de secreto y consentimiento para el tratamiento de datos
personales, la norma europea añade nuevos principios como el de
rendición de cuentas o “Accountability”, aludiendo a la
responsabilidad de las compañías en la implantación de mecanismos que
garanticen el cumplimiento de los principios y obligaciones en materia
de protección de datos, así como a los métodos de validación que
garanticen su fiabilidad.
Esta responsabilidad, será igualmente aplicable para empresas tanto
pequeñas como grandes, si bien es cierto que, resulta más sencillo
implantar políticas y métodos de control en multinacionales que operan a
escala mundial, mediante el establecimiento de mecanismos internos y
externos para evaluar su fiabilidad y demostrar su efectividad cuando se
solicite por las autoridades de control. Además, los medios y recursos
de los que disponen permiten realizar periódicamente programas de
concienciación en la materia.
Por otro lado, aparece el Principio de Transparencia,
centrado en facilitar las relaciones entre el responsable de los datos y
el interesado, así como entre el responsable de los datos y las
autoridades de control.
Este principio se materializa en cuatro conceptos:
a) Eliminación de la obligación de notificar y registrar los
ficheros que contienen datos personales ante la autoridad de control
(Agencia Española de Protección de Datos-AEPD).
b) Conservación de la documentación de todas las operaciones de
tratamiento de datos efectuadas bajo su responsabilidad. La
responsabilidad de conservar la documentación, a partir de la entrada en
vigor del nuevo Reglamento, recae tanto en el Responsable como en el
Encargado del tratamiento.
c) Establecimiento de mecanismos sencillos para el ejercicio de los derechos.
Un ejemplo de ello, es la posibilidad de ejercitar los derechos vía
electrónica (tanto para envío como para respuesta), y la obligación de
informar a los solicitantes de la posibilidad de presentar una
reclamación ante la autoridad de control y de recurrir a los tribunales.
Asimismo, la Comisión podrá establecer formularios y procedimientos
normalizados para las comunicaciones a los interesados, incluido el
formato electrónico, adoptando medidas específicas para las
microempresas, las pequeñas y medianas empresas.
d) Cooperación con autoridades de control. Con el cambio
normativo los responsables y encargados del tratamiento no sólo deberán
colaborar con su autoridad de control nacional (en nuestro caso AEPD),
sino que ahora también entrará en juego “rendir cuentas” ante la
Comisión y el Consejo Europeo de Protección de Datos. Si bien esto dota
de transparencia a las actividades que impliquen tratamiento de datos
personales, también genera un estricto deber de cumplimiento para dichos
agentes.
2.- Tratamiento de datos de menores: Otra de las novedades
importantes es que se fija la edad de los menores en menos de 13 años
(frente a la actual regulación española que la fija en menos de 14), en
relación a la oferta directa de servicios de la sociedad de la
información. Además, añade el borrador, que el tratamiento de los datos
de estos menores solamente será lícito si el padre o tutor del menor ha
prestado su consentimiento previo.
3.- Nuevos Derechos para los ciudadanos: Esta novedad, a
nuestro entender y al de muchos expertos, resulta uno de los puntos más
importantes y relevantes del borrador de Reglamento Europeo.
Comenzamos por el famoso “Derecho al olvido”, del que ya se
venía hablando desde hace tiempo, pero que, en realidad, hasta la
publicación del borrador no habíamos visto materializado.
Este derecho consiste en la supresión de datos bien porque ya no
son necesarios conforme a la finalidad para la que fueron recabados ya
sea porque el interesado ha revocado su consentimiento para el
tratamiento; porque ha expirado el plazo para el tratamiento legal de
los datos; porque el interesado ha ejercitado su derecho de oposición, o
bien porque el tratamiento de los datos no se está realizando conforme
al Reglamento que estamos comentando.
Pero este derecho va más allá y obliga a los responsables de los
datos que han difundido la información a terceros a comunicarles la
obligación de suprimir cualquier enlace a los datos publicados, así como
a eliminar cualquier copia o réplica de dichos datos. Su traducción
directa consiste en conseguir eliminar de la red y de los buscadores
cualquier rastro que haya de los datos de la persona que quiere ser
“olvidada” de manera definitiva.
Otro derecho importante es el de oponerse a la “Creación de perfiles”,
que consistan en evaluar, de manera automatizada, determinados aspectos
personales propios de dicha persona física o a analizar o predecir en
particular su rendimiento profesional, su situación económica, su
localización, su estado de salud, sus preferencias personales, su
fiabilidad o su comportamiento.
Por último, no podemos olvidarnos del derecho a la “Portabilidad de los datos”,
solicitado con el fin de obtener del responsable del tratamiento una
copia de los datos objeto de tratamiento en un formato electrónico
estructurado y comúnmente utilizado que le permita seguir utilizándolos.
Encontramos, así, su aplicación práctica, en el deseo de un particular
de cambiar de operadora de telecomunicaciones, pudiendo realizar tal
portabilidad, de una manera ágil y sencilla para el usuario final.
4.- Notificación de Brechas de Seguridad: La mayor
diferencia que encontramos entre nuestro Reglamento de protección de
datos y el borrador Europeo radica en las medidas de seguridad.
De hecho, el borrador no hace ni un desglose de las mismas ni
establece diversos niveles de seguridad en función del tipo de datos
personales que se trate, sino que impone al responsable y al encargado
que las implementen asegurando un nivel de protección adecuado
atendiendo a tres criterios: los riesgos que se presenten, la naturaleza
de los datos y los costes de implementación.
El Reglamento otorga a la Comisión la facultad de elaborar actos
normativos para establecer medidas de seguridad de carácter técnico y
organizativo, teniendo en cuenta para ello, tanto el desarrollo de la
tecnología, como las soluciones ofrecidas por la Privacy by Design y Privacy by Default.
En cuanto a la obligación de comunicar las brechas de seguridad, el
borrador diferencia entre notificar a la autoridad de control la
incidencia detallada de lo que ha sucedido realmente en un plazo no
superior a 24 horas (veremos qué plazo se fija definitivamente), y
notificarlo al interesado cuando éste se haya visto afectado, por la
vulneración de las medidas de seguridad.
Si bien supone una modificación sustancial de nuestro actual
reglamento, no podemos olvidar que estas obligaciones ya estaban
previstas en la denominada Directiva 2009/136/CE (“cookies”), por lo que
este precepto simplemente es una armonización y homogenización de las
directivas europeas sobre seguridad y comunicaciones electrónicas.
5.- La Figura del Delegado de Protección de Datos: La propuesta de Reglamento le dedica una sección entera a esta nueva figura, dada la relevancia que tiene para el futuro.
Simplemente mencionar que como rasgos fundamentales, destacamos la obligatoriedad de contar con un “Data Protection Officer”
(DPO), por un plazo mínimo de 2 años, tanto en autoridades y organismos
públicos, como en empresas con al menos 250 empleados. Se permite
contar con un solo DPO en los casos de grupos de empresas.
En cuanto al perfil del DPO, mucho queda por detallar a este
respecto, por lo que quedamos a la espera de qué dirá el texto
definitivo. Lo que sí podemos afirmar, es que entre las funciones que le
serán encomendadas se encuentran: supervisar la implementación y
aplicación de las políticas internas, la formación del personal, las
auditorías, la información de los interesados y las solicitudes
presentadas en el ejercicio de sus derechos, velar por la conservación
de la documentación, supervisar la realización de la evaluación de
impacto y actuar como punto de contacto para la autoridad de control,
entre otras.
6.- Evaluación de Impacto: Nuestro análisis finaliza con comentar en qué consiste realizar esta evaluación.
Pues bien, realizar una evaluación de riesgos por parte del
responsable o el encargado del tratamiento, con carácter previo al
tratamiento, permitirá que las medidas que se adopten tengan como
finalidad evitar la pérdida de datos, los accesos y cesiones no
autorizados.
No obstante, ¿cuándo plantea el borrador que habrá que evaluar los
riesgos del tratamiento de los datos? Sencillamente, en los casos en los
que el tratamiento entrañe riesgos específicos para los derechos y
libertades de los interesados en razón de su naturaleza, alcance o
fines. En particular, cuando el tratamiento sirva para la creación de
perfiles de los interesados, en el tratamiento de datos sensibles, datos
genéticos o biométricos, en los casos de video-vigilancia y en el
tratamiento de datos de menores. En todos estos casos será necesario
realizar un “Informe de Impacto de Privacidad”.
Fuente: www.microsoft.com/
No hay comentarios:
Publicar un comentario