Bases de Datos
Seguridad
Centro de datos
Ciberseguridad

Guía rápida sobre las principales novedades en el Reglamento UE de Protección de Datos

El Reglamento General de Protección de Datos (RGPD), que sustituirá a la Directiva 95/46/CE, podría entrar en vigor en 2018 e incluye importantes novedades.

seguridad perdida datos

Después de casi cuatro años desde que la Comisión Europea presentara su iniciativa, el 25 de enero de 2012, y todavía a falta de varios trámites que darán lugar a su publicación en el Diario Oficial de la Unión Europea, así como a un plazo de adaptación de dos años desde su entrada en vigor, podemos hablar de las principales novedades que trae el Reglamento General de Protección de Datos de la Unión Europea (UE). Al respecto, se espera que la entrada en vigor de este Reglamento se produzca en 2018.

Este Reglamento es vinculante para todos los Estados miembros de la UE y directamente aplicable, si bien habrá que ver hasta dónde llega cada legislador nacional con el margen de maniobra que, en varias ocasiones, deja el mismo para que se puedan aplicar regulaciones específicas en algunos aspectos o limitaciones en otros casos. No obstante, son muchas las novedades sobre las que es conveniente ir pensando y, en su caso, adoptando e implementando medidas técnicas y organizativas para, más que estar preparados, poder demostrar desde ya responsabilidad (en inglés, “accountability”) en el cumplimiento, así como en la generación o el refuerzo de la confianza en las personas físicas cuyos datos personales son o serán tratados.

Es así que a continuación, a modo de guía rápida, se destacan algunas de las principales novedades del todavía futuro Reglamento General de Protección de Datos (RGPD) de la UE.

Ámbito de aplicación del Reglamento: Es importante tenerlo en consideración ya que incluso es aplicable a quienes, sin estar establecidos en el territorio de la UE, tratan datos personales de ciudadanos europeos al dirigir sus bienes o servicios a los mismos, con independencia de dónde se produzca el pago.

Aproximación basada en el riesgo (“risk-based approach”): No es un concepto nuevo si bien adquiere especial importancia a la hora de determinar qué medidas hay que adoptar e implementar para cumplir con la normativa sobre protección de datos personales. En este sentido, el riesgo que pueda implicar o conlleve el tratamiento de los datos personales para la persona, con respecto a su derecho fundamental a la protección de datos personales y demás derechos y libertades fundamentales es lo que va a determinar, entre otros aspectos, que haya que designar a un delegado de protección de datos (en inglés, Data Protection Officer, DPO, la versión europea del Chief Privacy Officer, CPO), realizar una evaluación de impacto de la protección de datos (Data Protection Impact Assessmet, DPIA) o incluso llevar a cabo una consulta previa al tratamiento de los datos personales con la autoridad nacional de protección de datos.

Nuevos principios de la protección de datos: Destacando aquí varios, como son los de transparencia, responsabilidad (“accountability"), protección de datos desde el diseño (“data protection by design”) y por defecto (“by default”). Son nuevos principios o, en algún caso, principios que ahora se incluyen explícitamente en la normativa sobre protección de datos personales. En lo fundamental, implican que quien trata datos personales lo haga considerado este derecho fundamental desde el comienzo, ya sea, por ejemplo, el desarrollo de una aplicación, un sistema de información, un servicio, etc., de manera que, adoptando las medidas adecuadas al riesgo que implica el tratamiento de los datos, pueda demostrarse responsabilidad en el cumplimiento. En su caso, será clave la cooperación entre el responsable y el encargado del tratamiento o quienes intervengan en la cadena a lo largo del ciclo de vida de los datos personales.

Derechos al olvido, a la portabilidad y a saber cuándo se ha producido una fuga de datos personales: Además de los ya conocidos derechos ARCO (acceso, rectificación, cancelación y oposición) el Reglamento introduce el derecho al olvido que, en su caso, implicará el borrado de los datos personales de su titular; el derecho a la portabilidad de los datos personales, por ejemplo, entre redes sociales u otros servicios electrónicos, así como el derecho a saber cuándo han sido “hackeados” los datos personales o se ha producido una brecha de seguridad que implique una fuga de datos personales. Y lo anterior sin perjuicio de que el responsable del tratamiento tenga que notificar dicha fuga a la autoridad nacional de supervisión. En relación con el derecho al olvido, cabe recordar que no es, tampoco, un derecho absoluto y que, por lo tanto, tiene límites.

Datos sensibles o categorías de datos personales “especiales”: A la lista ya conocida de datos sensibles (salud, origen racial, etc.) se suman otros nuevos como los datos genéticos, datos biométricos, las creencias filosóficas o la orientación sexual. Por lo tanto, cuáles son los datos sensibles y qué medidas adicionales adoptar en caso de que se traten es un aspecto fundamental a considerar, máxime dada la aproximación basada en el riesgo.

Consentimiento para el tratamiento de los datos personales: Entre los principios que legitiman el tratamiento de los datos personales destaca, en particular, el relativo al consentimiento. Al respecto, el RGPD exige, con carácter general, que el consentimiento sea claramente inequívoco, debiendo ser explícito en el caso de datos sensibles (salud, origen racial, religión, vida sexual, etc.). Es importante prestar atención, por una parte, a la necesidad de gestionar adecuadamente dicho consentimiento, lo que implica que el responsable tendrá que ser capaz de demostrar que obtuvo el consentimiento necesario del titular de los datos personales y, por otra parte, que las casillas pre-marcadas o que el titular no tenga que hacer nada para obtener su consentimiento no es válido para cumplir con el requisito de que sea “claramente inequívoco”. Al respecto, es importante considerar también la necesidad de establecer mecanismos adecuados que permitan al titular de los datos personales revocar el consentimiento dado. En el caso de los menores, habrá que ver país por país cuál es la edad a considerar (13-16 años).

Códigos de conducta y certificaciones: Que deberán fomentarse a nivel nacional y europeo con la finalidad de servir como un instrumento adecuado, tanto a responsables como encargados del tratamiento, para demostrar cumplimiento. En particular, adquieren relevancia en el caso de los encargados del tratamiento, quienes tienen que aportar garantías suficientes en materia de protección de datos personales para prestar servicios que impliquen o consistan en tratar datos personales por cuenta de los responsables del tratamiento.

Transferencia internacional de datos: Habrá que ver, ya que todavía es pronto, cómo se articulan en la práctica las nuevas posibilidades de transferir datos personales a terceros países, fuera de la UE o del Espacio Económico Europeo (EEE) en atención, por ejemplo, a un sector de actividad, como pudiera ser el de la computación en la nube, etc.

En definitiva, muchas novedades que, en algunos casos, deben considerarse desde ya puesto que proporcionar un alto nivel de protección de datos personales es una cuestión de cumplimiento que implica adoptar e implementar medidas que permitan demostrar responsabilidad, también en el presente.

 

Miguel Recio Gayo

Abogado del Ilustre Colegio de Abogados de Madrid; Licenciado en Derecho por la Universidad Carlos III; Máster en Protección de Datos, Transparencia y Acceso a la Información por la Universidad CEU San Pablo y Máster en Derecho de la Propiedad Intelectual por The George Washington University Law School. Es socio fundador de Global Data Protection Consulting, una firma de servicios jurídicos y consultoría en Derecho de las TIC. Es autor de diversas publicaciones sobre protección de datos y otras áreas del Derecho de las TIC. Madrid, España.



Revistas Digitales

DealerWorld Digital

 

También es noticia...

Documentos Computerworld

Registro:

Eventos: