Blog del Colegio Oficial de Aparejadores, Arquitectos Técnicos e Ingenieros de Edificación de Valencia

Protección de datos: el nuevo Reglamento que afecta a ciudadanos, empresas y entidades de toda Europa

38988086 - ethnicity business people security protection conference seminar concept

En mayo de 2018 se aplicará en toda Europa el nuevo Reglamento de protección de datos de la Unión Europea. Durante el próximo año y medio, todas las empresas y organizaciones, con independencia de su tamaño y tanto privadas como públicas, deben realizar las modificaciones y ajustes necesarios para garantizar su cumplimiento. Prodasva celebra una jornada al respecto en el Colegio el próximo 13 de febrero y nos introduce en este post las modificaciones que conlleva el texto legal.

El nuevo Reglamento

El 25 de mayo de 2016 entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y se culmina un largo y complejo proceso legislativo iniciado en 2012 a propuesta de la Comisión Europea para la regulación de la privacidad en toda la Unión Europea.

El Reglamento general de protección de datos va a plantear en los próximos años múltiples retos a las empresas y organizaciones, tanto privadas como públicas, y va a acarrear cambios que van a ser significativos para todas las entidades con independencia de su tamaño.

21646363 - businesswoman holding tablet pc entering password security conceptEste reglamento, a diferencia de las directivas, tiene como principal efecto ser de directa aplicación en toda Europa, sin necesidad de incorporación por los Estados miembros a su ordenamiento interno. No obstante, debido al calado y trascendencia de las nuevas normas y derechos regulados, será aplicable a partir del 25 de mayo de 2018. Así, durante el próximo año y medio, cada estado y todas las empresas y administraciones públicas podrán realizar las modificaciones y ajustes necesarios para garantizar su cumplimiento. Hasta entonces, tanto la directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas u aplicables.

El reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la Unión Europea, siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

Mayor control sobre nuestros datos en el entorno digital

La reforma pretende devolver a los ciudadanos el control de sus datos personales y garantizar en toda la Unión Europea unos estándares de protección elevados y adaptados al entorno digital. También incluye nuevas normas mínimas sobre el uso de datos para fines judiciales y policiales.

Se pretende de igual manera llevar un mayor control sobre nuestros datos en internet y las redes sociales, el objetivo del nuevo reglamento en general es dar más control a los ciudadanos sobre su información privada en un mundo de teléfonos inteligentes, redes sociales, banca por internet y transferencias globales. Los ciudadanos podrán decidir por sí mismos qué información quieren compartir.

Internet: nuevo ámbito de aplicación

En la actualidad, para tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el Reglamento pretende adaptar los criterios que determinen qué empresas deben cumplirlo a la realidad del mundo de internet. Con este nuevo ámbito de aplicación se tratará de evitar que empresas que se regían por normativas de otros países, que no ofrecían el mismo nivel de protección  y podían estar tratando datos de personas de la Unión, cumplan con la normativa europea.

41733057 - computer keyboard with red key deleteEntre las disposiciones que aparecen en este extenso trabajo legislativo hay que destacar el derecho de rectificación en Internet -conocido como derecho al olvido-, mediante la modificación o supresión de datos personales y el derecho a la portabilidad, que mejoran la capacidad de decisión de los ciudadanos sobre los datos personales que confían a terceros. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

El denominado ‘derecho al olvido’ es la manifestación de los tradicionales derechos de cancelación y oposición aplicados a los buscadores de internet.

Consentimiento afirmativo

16930987 - 3d people - man, person with a folder and a key.De igual manera, hay que tener en cuenta la obligación de obtener un consentimiento claro y afirmativo de los usuarios, para poder considerar que el consentimiento es “inequívoco”, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos. El consentimiento tácito, aceptado bajo la actual normativa dejará de serlo cuando el Reglamento sea de aplicación.

Los ciudadanos tienen el derecho a ser informados sobre un posible pirateo de datos personales.

Multas de hasta 20 millones

Las multas pueden alcanzar hasta 20.000.000 o el 4% del volumen de negocio anual global del ejercicio financiero anterior de las empresas en caso de infracción sobre estos datos, optándose por el de mayor cuantía. Salvo desarrollo nacional tales sanciones podrán imponerse a la administración.

Responsabilidad activa

Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Entre esas medidas están: establecer medidas de seguridad; protección de datos desde el diseño; designar en ciertos casos a un «delegado de protección de datos» (DPO, Data Protection Officer) para garantizar el cumplimiento de la normativa ahora en vigor; mantenimiento de un registro de tratamientos; notificación de violaciones de la seguridad de los datos; promoción de códigos de conducta….

Análisis de riesgo

El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser operaciones muy simples en entidades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo, datos sensibles, u operaciones más complejas en entidades que desarrollen muchos tratamientos, que afecten a gran cantidad de interesados o que por sus características requieren de una valoración cuidadosa de sus riesgos. Tanto la Agencia Española de Protección de Datos como las distintas autoridades europeas están ya trabajando en el desarrollo de herramientas que faciliten la identificación y valoración de riesgos y en recomendaciones sobre la aplicación de medidas.

Todos estos cambios afectarán directamente a la LOPD, la cual no quedará tal y como la conocemos hoy en día, pero el Reglamento no será aplicable hasta 2018. Pero puede ser útil para las organizaciones que tratan datos empezar ya a valorar la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España.

Angels Chaparro

Prodasva, Consultoría y Gestión S.L

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies