A partir del próximo 25.05.18 será de aplicación el Reglamento (UE) 2016/679 , de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos, y quedará derogada tanto la Directiva 95/46 como, las normas nacionales que la trasponen, entre ellas la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal (salvo arts. 23 y 24 y DT4ª).
1ª.- Personas obligadas a cumplir con la nueva normativa:
Al igual que hasta ahora, tanto empresas, autónomos, profesionales, entes públicos y cualquiera que por su actividad realice tratamientos de datos de carácter personal, ya sean estos por su cuenta propia o a través de terceros.
Como novedad, la normativa europea sobre protección de datos pasa a ser aplicable no sólo a los responsables o encargados del tratamiento de datos establecidos en la UE sino también a aquellas empresas y organizaciones que no estén establecidas en la UE cuando realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la UE o como consecuencia de una monitorización y seguimiento de su comportamiento, las cuales estarán obligadas a nombrar un representante suyo en la UE.
2ª.- El “derecho al olvido” y el “derecho a la portabilidad” como nuevas herramientas destacadas de control de los datos para los ciudadanos:
Frente a los hasta ahora vigentes derechos de Acceso, Rectificación, Cancelación y Oposición de los usuarios, en relación con sus datos personales que estén siendo objeto de tratamiento, el nuevo Reglamento recoge ahora como Derechos del interesado, los derechos de información y acceso del interesado a sus datos (arts. 13 a 15), el derecho de rectificación (art. 16) y el de supresión o “derecho al olvido” (art. 17), el derecho a la limitación del tratamiento (art. 18), el de la “portabilidad” de los datos (art. 20), y el derecho de oposición (art. 21).
De ellos destacan los novedosos derechos “al olvido” y “a la portabilidad” de los datos: Siendo el primero, el derecho de los ciudadanos a solicitar que sus datos sean suprimidos en los casos indicados e incluso a solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que les afecten que sean obsoletas, incompletas, falsas o irrelevantes y que no sean de interés público, entre otras razones. Y, el segundo, el de la portabilidad, el derecho a solicitar al responsable que los esté tratando de forma automatizada, el poder recuperarlos en un formato que permita transferírselos a otro responsable que el ciudadano designe.
3ª.- Sobre la información a incluir en los avisos de privacidad:
Los avisos sobre privacidad deben revisarse y corregirse para incluir toda una serie de informaciones nuevas que deben proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, por escrito u otros medios, inclusive, si procede, por medios electrónicos y de forma gratuita.
Entre dicha información, destaca como novedad, la base legal del tratamiento, plazo de conservación o criterios para determinarlo, existencia de los derechos que pueden ejercitar frente al responsable (acceso, rectificación, supresión, limitación, oposición, y portabilidad), posibilidad de presentar reclamaciones a las Autoridades de Protección de datos, etc.
4ª.- Medidas preventivas a adoptar por las empresas. La responsabilidad activa:
El Reglamento establece toda una serie de medidas que las empresas deberán adoptar con carácter preventivo y anticipativo para garantizar el cumplimiento de los principios, derechos y garantías recogidos en él, destacando las siguientes:
· Protección de datos desde el diseño y por defecto (art. 25), adoptando medidas de seguridad, técnicas y organizativas, apropiadas (art. 32) como la seudominización y minimización de datos, y aquellas con miras a garantizar que, por defecto, solo sean tratados los datos personales estrictamente necesarios.
· Obligación de mantener un registro de tratamientos (art. 30), equivalente en cuanto a su contenido al actual “documento de seguridad”, desapareciendo la obligación de notificar los ficheros a la AEPD.
· Evaluaciones previas de impacto (art. 35) y consultas previas a la autoridad de control (art. 36) cuando sea probable que el tratamiento presente un alto riesgo específico para los derechos y libertades de los interesados.
·Designación de un delegado de protección de datos (DPO) (arts. 37 a 39):
- Si el tratamiento lo lleva a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
- Si las actividades principales del responsable o del encargado consisten en:
– Operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieren una observación habitual y sistemática de interesados a gran escala.
– El tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10 del Reglamento.
· Notificación de violaciones de la seguridad de los datos a la autoridad de control (art. 33) y al interesado (art. 34)
· Promoción de códigos de conducta (art. 40) y mecanismos de certificación (art. 42)
5ª.- Sobre la validez en la obtención del consentimiento:
Conforme a la normativa anterior, se admitía como consentimiento válidamente otorgado en muchos casos el llamado consentimiento “tácito”. Sin embargo, con la aplicación del nuevo Reglamento dicha forma de obtención del consentimiento para el tratamiento de datos personales ha dejado de ser válida.
Ahora, la validez de la obtención del consentimiento depende de que el mismo se preste de forma libre, informada, específica e inequívoca, teniendo en cuenta en este último caso que para que se considere prestado de forma inequívoca es preciso una declaración de los interesados o una acción positiva que indique el acuerdo de éstos, no pudiendo deducirse el consentimiento del silencio o de la inacción de los mismos.
Además, en algunos casos como aquellos en los que el consentimiento sea necesario para el tratamiento de datos sensibles, el consentimiento debe ser otorgado de manera “explícita” lo cual comporta que no puede entenderse concedido implícitamente mediante algún tipo de acción positiva sino que es necesario contar con que la acción o declaración se refieran explícitamente al consentimiento y al tratamiento concreto de que se trate.
Finalmente, y como novedad, el otorgamiento del consentimiento debe ser verificable, de tal forma que quienes recopilen datos personales deben poder demostrar que el interesado les otorgó su consentimiento.
6ª.- Edad mínima prestación consentimiento por niños en relación con internet y redes sociales:
En España, hasta ahora, el límite de edad a partir del cual los menores podían prestar su consentimiento para el tratamiento de sus datos personales en relación con la oferta dirigida a los mismos a través de servicios de la sociedad de la información (internet, redes sociales, etc.), se encontraba en los 14 años. A partir del 25.05.18 todo indica[1] que será de 13 años (El Reglamento lo fija en un mínimo de 16 años si bien permite que los estados la fijen en una edad menor, sin que en ningún caso pueda ser inferior a los 13 años).
Consentimiento que deberá ser verificable y debiendo estar escrito el aviso de privacidad en un lenguaje que los niños puedan entender.
7ª.- Contratos con los encargados del tratamiento:
Con el nuevo Reglamento se amplía el contenido de los contratos firmados por el responsable del tratamiento con los encargados del tratamiento, esto es, aquellos terceros que traten datos personales por cuenta del responsable) que además del objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos personales y categorías de interesados, obligaciones y derechos del responsable, debe recoger toda una serie de estipulaciones concretas indicadas en el nuevo Reglamento.
Sería pues recomendable revisar los contratos actualmente firmados con los encargados del tratamiento para verificar que se ajustan a antes indicado, o modificándolos a tal efecto en caso contrario[2].
8ª.- Sobre el nuevo sistema de “ventanilla única”:
Este nuevo sistema que introduce el Reglamento está pensado para que los responsables establecidos en varios Estados miembros o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE, tengan una única Autoridad de protección de datos como interlocutora.
Además, este nuevo sistema implicará también que cada Autoridad de protección de datos europea, en lugar de analizar una denuncia o autorizar un tratamiento a nivel estrictamente nacional, valorará si el supuesto tiene carácter transfronterizo, en cuyo caso se abrirá un procedimiento de cooperación entre todas las Autoridades afectadas buscando una solución aceptable para todas ellas, de tal forma que si hubieran discrepancias insalvables, el caso se elevaría al Comité Europeo de Protección de Datos (un organismo de la Unión integrado por los directores de todas las Autoridades de protección de datos de la Unión) que resolverá la controversia mediante decisiones vinculantes para las Autoridades implicadas.
En todo caso, la ventanilla única no afectará a empresas que sólo estén en un Estado miembro y que realicen tratamientos que afecten sólo a interesados en ese Estado y tampoco supondrá que los ciudadanos tengan que relacionarse con varias Autoridades o con Autoridades distintas de la del Estado donde residan. Éstos siempre podrán plantear sus reclamaciones o denuncias ante su propia Autoridad Nacional (En España, la Agencia Española de Protección de datos), la cual será la responsable de informar al ciudadano del resultado de su reclamación o denuncia.
9ª.- Posibles sanciones:
Dependiendo de la gravedad de la infracción las multas podrían llegar alcanzar un importe máximo de entre 10 y 20 millones de euros o un porcentaje de entre el 2 y el 4% del volumen de negocios total de la empresa.
[1] Según Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal (BO de las Cortes Generales de 24.11.17, cuyo objeto es adpatar el Reglamento al ordenamiento jurídico español.
[2] Una vez se apruebe la mencionada nueva LOPD en España, habrá que verificar de qué modo y durante cuánto tiempo, transitoritamiente, podrán mantener su vigencia los contratos suscritos antes del 25.05.18 y cuándo y cómo deberá producirse su adaptación a la nueva normativa.
FABREGAT PERULLES SALES ABOGADOS
Mayo de 2018