El pasado 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos, y, como toda novedad, genera preguntas.
12 de las cuales se las ha planteado la propia Agencia Española de Protección de Datos, proporcionando a su vez las respuestas, para facilitar la comprensión del nuevo marco normativo a los ciudadanos y ayudar a las organizaciones a adaptarse a los cambios que incorpora y cumplir así con sus obligaciones.
1. La entrada en vigor del Reglamento, ¿supone que ya no se aplica la Ley Orgánica de Protección de Datos española?
No. El Reglamento entró en vigor el 25 de mayo de 2016, pero no empezará a aplicarse hasta dos años después, 25 de mayo de 2018. Hasta entonces, las normas nacionales y la Directiva 95/46 que la trasponen, siguen siendo plenamente válidas y aplicables.
2. ¿Cuál es, entonces, el significado de que el Reglamento haya entrado en vigor?
El periodo de dos años hasta su aplicación tiene como objetivo permitir que los Estados de la Unión Europea, las instituciones Europeas y también las organizaciones que tratan datos puedan prepararse y adaptarse para el momento en que el Reglamento sea aplicable.
Los Estados miembros pueden adoptar o iniciar la elaboración de determinadas normas para la aplicación del Reglamento, las cuales no pueden ser contrarias a las disposiciones de la vigente Directiva, ni tampoco ir más allá de los poderes de actuación normativa que el propio Reglamento prevé.
3. ¿A qué empresas u organizaciones se aplica?
El Reglamento se aplicará como hasta ahora a responsables o encargados del tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.
Dichas organizaciones deberán nombrar un representante de la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades.
4. ¿Qué implica para los ciudadanos que el Reglamento amplíe el ámbito de aplicación territorial?
Dicha novedad supone una garantía adicional a los ciudadanos europeos. Actualmente, para tratar datos no es necesario mantener presencia física sobre el territorio, por lo que el Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de Internet. Esto permite que el Reglamento sea aplicable a empresas que podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países con un nivel de protección diferente a la normativa europea.
5. ¿Qué nuevas herramientas de control de sus datos poseen los ciudadanos?
Se introducen nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre sus datos personales.
El derecho al olvido se presenta como la consecuencia del derecho que tienen a solicitar de que los datos personales sean suprimidos cuando estos ya no sean necesarios par la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.
Así mismo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.
Por otra parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable.
6. ¿A qué edad pueden los menores prestar su consentimiento para el tratamiento de sus datos personales?
El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo el límite a los 13 años. En el caso de España, ese límite continua siendo los 14. Por debajo de esa edad, es necesario el consentimiento de padres o tutores.
Es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.
7. ¿Qué implica la responsabilidad activa recogida en el Reglamento?
El Reglamento se basa, entre otros aspectos esenciales, en la prevención por parte de las organizaciones que tratan datos. Lo que se conoce como responsabilidad activa.
Las empresas deben adoptar medidas que aseguren que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que, actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, puesto que dicha infracción puede causar daños a los interesados y pueden ser muy difícil de compensar o reparar. El Reglamento prevé una batería de mediadas:
- Protección de datos desde el diseño
- Protección de datos por defecto
- Medidas de seguridad
- Mantenimiento de un registro de tratamientos
- Realización de evaluaciones de impacto sobre la protección de datos
- Nombramiento de un delegado de protección de datos
- Notificación de violaciones de la seguridad de los datos.
- Promoción de códigos de conducta y esquemas de certificación.
8. Entonces, ¿supone una mayor carga de obligaciones para las empresas?
El Reglamento supone un mayor compromiso de las organizaciones con la protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchas casos será sólo una forma de gestionar la protección de datos distinta de la empleada hasta ahora.
El Reglamento introduce algunas medidas, algunas son una continuación y otras reemplazan a otras ya existentes, como es el caso de las medidas de seguridad y, hasta cierto punto, la evaluación de impacto y la consulta a Autoridades de supervisión.
Otras constituyen la formalización en una norma legal de prácticas ya muy extendidas en las empresas o que, en todo caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos.
En todos los casos, el Reglamento prevé que la obligación de estas medidas, o el modo en que se apliquen, dependerá de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos.
Es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo.
9. ¿Cambia la forma en la que hay que obtener el consentimiento?
El Reglamento pide que el consentimiento sea libre, informado, específico e inequívoco. Para considerar que el consentimiento es “inequívoco”, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.
Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa, dejarán de serlo cuando el Reglamento sea de aplicación.
Además, dicho consentimiento debe ser “explícito” en algunos casos, como el autorizar el tratamiento de datos sensibles. Un requisito más estricto y será preciso que la declaración y acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.
10. ¿Deben las empresas revisar sus avisos de privacidad?
Con carácter general, sí. El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias.
Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los periodos de retención y que los interesados pueden dirigir sus reclamaciones a las Autoridades de protección de datos si creen que hay un problema con la forma en que están manejando sus datos.
11. ¿En qué consiste el sistema de “ventanilla única”?
Este sistema está pensado para que los responsables establecidos en varios Estados miembros o que, estando en un solo Estado miembro, hagan tratamiento que afecten significativamente a ciudadanos en varios Estados de la UE tengan una única Autoridad de protección de datos como interlocutora.
Además implica que cada Autoridad de protección de datos europea valorará si el supuesto tiene carácter transfronterizo, en cuyo caso habrá que abrir un procedimiento de cooperación entre todas las Autoridades afectadas buscando una solución aceptable para ellas.
Este nuevo sistema no supone que los ciudadanos tengan que relacionarse con varias Autoridades o con Autoridades distintas del Estado donde residan. La ventanilla única, en todo caso, no afectará a empresas que sólo estén en un Estado miembro y que realicen tratamientos que afecten sólo a interesados en ese Estado.
12. ¿Tienen las empresas que empezar a aplicar ya las medidas contempladas en el Reglamento?
No. El Reglamento está en vigor, pero no será aplicable hasta 2018.
Sin embargo, puede ser útil empezar ya a valorar la implementación de algunas medidas previstas, siempre que esas medidas no sean contradictorias a la LOPD.
Nada impide que las organizaciones comiencen a planificar o a establecer el registro de tratamiento de datos o a implementar evaluaciones de impacto o cualquiera de las otras medidas previstas.
La ventaja de una pronta aplicación es que permitirá detectar dificultades, insuficiencias o errores en una etapa en que estas medidas no son obligatorias y, en consecuencia, su corrección o eficacia no estarían sometidas a supervisión.
