El 14 de abril de 2016, el Parlamento Europeo aprobó el nuevo reglamento de protección de datos, único para todos los estados miembro, que será de obligado cumplimiento en mayo de 2018. Esta norma pone en valor el respeto a la protección de los datos personales en las empresas y asociaciones, sea cual sea su tamaño o su modelo de negocio. Todas tendrán que adaptarse a los cambios que obliga la ley. La buena noticia es que hay tiempo y que será más sencillo para las empresas que ya cumplen con la LOPD.

El objetivo de esta norma es crear un marco de confianza para que pueda desarrollarse un mercado digital interior con seguridad jurídica para los usuarios y transparencia en cuanto a protección de sus datos personales.

La Agencia Española de Protección de Datos aclara en su nota de prensa, «El Reglamento de protección de datos en 12 preguntas», las principales dudas que este nuevo reglamento suscita.

Lo más destacado es la eliminación de la obligación de inscribir los ficheros en la AGPD y la nueva figura del Delegado de Protección de Datos, además de las ya existentes de responsable y encargado. El delegado actuará como supervisor y asesor, y será necesario contar con uno si la empresa realiza una actividad que implique el tratamiento de datos personales a gran escala y, en particular, si se trata de datos sensibles (raza, orientación sexual, etc.) o de categorías especiales, de cuyo tratamiento pueda derivarse cualquier tipo de perjuicio económico o social para los usuarios.

Además, la norma incluye un nuevo principio de rendición de cuentas, por el cual las empresas tendrán que disponer de mecanismos para registrar los tratamientos que realicen de los datos personales, de forma que sirvan de garantía de cumplimiento. Están exentas de llevar este registro las microempresas, las pequeñas y las medianas (con menos de 250 empleados).

Por otra parte, se incluye la necesidad de recabar el consentimiento explícito de los propietarios de los datos personales. Esto va a obligarnos a modificar el aviso de privacidad (y la política de cookies) de nuestros servicios, redactándolo en un lenguaje claro y conciso. Estos avisos incluirán la nueva base legal, los periodos de retención de datos y dónde dirigir las reclamaciones si las hubiera. Además tendremos que incorporar mecanismos para notificar al usuario y a la Administración, en caso de suframos algún tipo de incidente de seguridad que implique violación de datos.

Se hace especial hincapié en los tratamientos automatizados de datos, indicando que deben incorporar la privacidad por diseño y por defecto:

  • La privacidad por diseño es la que incorpora desde que se concibe un servicio hasta en su despliegue y operación las medidas tecnológicas para preservar la privacidad de los usuarios.
  • La privacidad por defecto protege los datos del usuario en los ajustes por defecto. El diseñador de los servicios, bien por su construcción, o en los parámetros configurables por el usuario, elegirá los más respetuosos con la privacidad, no permitiendo funcionalidades extendidas por defecto que afecten a los datos de los usuarios, a no ser que este las elija explícitamente.

Esto implica elaborar políticas y utilizar la tecnología disponible (ENISA «Privacy and Data Protection by Design – from policy to engineering») para diseñar tratamientos de datos proporcionales a su finalidad. Estos tratamientos no tomarán más datos de los necesarios, los eliminarán en un plazo razonable y estarán preparados para ofrecer sin dilación los derechos ARCO y el derecho al olvido dentro de los límites legales.

Los usuarios también podrán solicitar sus datos o que estos se transmitan a otro responsable (portabilidad), por lo que estos han de estar en un formato común e interoperable que permita este intercambio.

A las empresas se les permite, para cumplir la norma, utilizar técnicas de anonimización, es decir, aquellas que tratan los datos para que sea imposible identificar a la persona. También se permiten técnicas de seudonimización, siempre que se mantenga separada la información adicional que permitiría revertir el proceso, y el responsable de tratamiento indique quienes son las personas autorizadas para este tratamiento.

Se restringe el uso de datos personales de menores de 16 años con posibilidad de rebajarlo hasta los 13 (en España 14 años) con fines de mercadotecnia o elaboración de perfiles de usuarios. También se limita por la norma (categorías especiales, art. 9) el uso de datos personales que podrían permitir algún perjuicio social o económico para los usuarios, como los que revelan el origen étnico, las opiniones políticas, las convicciones religiosas o la afiliación sindical; y los tratamientos de datos genéticos, biométricos, relativos a la salud, a la vida u orientación sexual de las personas físicas.

Además, si contratamos servicios a empresas fuera de la Unión Europea en los que se transfieran datos personales de clientes, tendremos que consultar con al AGPD si el país en cuestión ofrece un adecuado nivel de protección.

La norma regula los flujos transfronterizos de datos personales dentro de la UE y a otros países. Si tratamos datos personales de ciudadanos de la UE, nuestro encargado de tratamiento debe establecerse en la UE. En caso de pertenecer a un grupo empresarial, y el tratamiento de datos que realicemos esté relacionado con la oferta de bienes o servicios, o con el control del comportamiento de los usuarios, debemos designar (con las excepciones que dicta la norma) un representante.

Por otra parte, si nuestro tratamiento de datos entraña un alto riesgo para los derechos y libertades de las personas físicas, debemos realizar un análisis de riesgos de nuestro tratamiento y una evaluación del impacto (por ejemplo con esta guía de la AGPD). En este caso, nuestro responsable deberá contactar con la AGPD para determinar las medidas de seguridad que debemos implantar.

Finalmente la norma prevé la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos que nos ayudarán a verificar el cumplimiento.

Fuente: INCIBE

Be Sociable, Share!