Por ello desde LEGAL WORK queremos asesorarle y ayudarle a adaptarse e implementar medidas técnicas y organizativas necesarias para cumplir con el referido RGPD, que es de aplicación no sólo a las empresas o profesionales responsables o encargados del tratamiento de datos, con domicilio social en Europa, que presten servicios a ciudadanos europeos, sino que se amplía a empresas o profesionales con domicilio social fuera de la UE, y que realicen tratamiento de datos como consecuencia de su oferta de bienes o servicios destinados a ciudadanos europeos. El RGPD es una norma única de aplicación directa a todos los Estados miembros de la UE cuyo objetivo principal es otorgar un mayor control a los ciudadanos europeos sobre su información privada, y permitir una aplicación uniforme en toda la Unión Europea con el objetivo de alcanzar un nivel de protección de datos razonable, que evite la aplicación de las diferentes normativas de cada estado miembro.
El RGPD contiene muchos conceptos, principios y mecanismos similares a los establecidos por la Directiva 95/46 y por las normas nacionales que la aplican. Sin embargo, el RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser aplicadas por las entidades teniendo en cuenta sus propias circunstancias. Dos elementos de carácter general constituyen la mayor innovación del RGPD para el responsable del tratamiento y se proyectan sobre todas las obligaciones de las organizaciones:
– El principio de responsabilidad proactiva; se describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. Este principio requiere que la entidad analice qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento se determinar de forma explícita la forma en que aplicará las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión. Este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleve a cabo.
– El enfoque de riesgo; las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas. De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.
No obstante, tal y como se ha referido anteriormente muchos de los conceptos y principios del RGPD son parecidos a la norma actual, y por tanto, si está cumpliendo ahora, es un muy buen punto de partida para afrontar los nuevos elementos y obligaciones que introduce el RGPD.
Es importante conocer los cambios principales que introduce el nuevo Reglamento Europeo de Protección de Datos, los cuales se centran en el análisis de impacto de privacidad, el deber de información, el consentimiento, la transparencia, la seguridad y el hecho de que se deben garantizar los derechos de los ciudadanos en relación con la protección de su privacidad.
Nuestro equipo de trabajo especializado, analiza el impacto que supone en el tratamiento de datos cualquier proyecto llevado a cabo por parte de su entidad, o su negocio, procediéndose a efectuar un análisis de la privacidad por diseño que implicaría, entre muchas otras cosas, ¿cómo vamos a recabar los datos del usuario o cliente?, ¿cómo se le debe informar al cliente del tratamiento de sus datos?, ¿cómo se va almacenar la información?, y si, ¿es pertinente la información que recogemos sobre él o es excesiva?. Y todo ello en aras de tomar las medidas preventivas adecuadas para proteger al usuario frente a los abusos en los tratamientos de sus datos, y evitar así que su entidad o negocio infrinja la normativa.
Con anterioridad al RGPD, se exigía información sobre quién se encontraba detrás de todo tratamiento de datos y qué tratamiento se iba a hacer de los mismos, con el nuevo RGPD se va a tener que detallar la información de la forma más precisa posible, es decir, para cumplir con el nuevo reglamento debe quedar muy claro aspectos informativos como es la identidad del responsable de la gestión y, si procede, del delegado de protección de datos. La identidad de los destinatarios o categorías de destinatarios de los datos personales. Los fines del tratamiento a que se destinan los datos personales y el fundamento jurídico para dicho tratamiento. La medida en que los datos van a ser tratados, y el plazo durante el que se conservarán los datos personales y, cuando ello no sea posible, los criterios que se utilizarán por el responsable para determinar dicho plazo.
También remarcar que los avisos legales, condiciones de contratación y políticas de privacidad de páginas web, tiendas online o aplicaciones deberán ser lo más claras y sencillas posibles, utilizando un lenguaje que sea fácil de entender para todo tipo de usuario.
Por otro lado, en la normativa anterior ya se exigía que el consentimiento fuese, con carácter general, libre, informado, específico e inequívoco, con el nuevo RGPD es imprescindible que se produzca una declaración del interesado que otorgue su conformidad para poder considerar que dicho consentimiento es inequívoco. En todo caso deberá poder probarse que se ha otorgado el consentimiento, por lo que las empresas o plataformas online deberán dotarse de sistemas que así lo puedan garantizar. En los casos de tratamiento de datos sensibles, como los datos biométricos, además, no sólo se exigirá una acción positiva implícita, sino que la acción deberá ser expresa.
Además debe facilitarse información clara y fácilmente inteligible a la hora de efectuar un tratamiento de datos, la transparencia es un elemento fundamental y por tanto deberá facilitarse el ejercicio de derechos por parte de los usuarios: esto es el derecho a ser informado el derecho de acceso, el derecho de rectificación, el derecho a supresión (derecho al olvido), el derecho a la limitación del tratamiento, el derecho a la portabilidad de datos, el derecho de oposición (derecho a la exclusión voluntaria), y el derecho a no someterse a la toma de decisiones automatizadas, incluyendo la elaboración de perfiles.
Como mencionamos al principio, se requiere que las empresas y organizaciones tengan una actitud proactiva en el establecimiento de medidas de seguridad destinadas a garantizar que la infraestructura de la entidad asegura un correcto tratamiento y almacenamiento de los datos de sus clientes o usuarios. Todas estas medidas que deben adoptarse, entre otras, son; establecer accesos seguros al sistema de la empresa y/o a sus bases de datos, implantar procedimientos de copias de seguridad suficientes, adoptar medidas especiales para evitar fugas de datos, instalación de malware o evitar o prevenir que otros riesgos relacionados ocurran, como daño a los sistemas informáticos, etc.
Otros de los cambios que introduce el RGPD, es que la entidad responsable de tratamiento tiene el deber de comunicar este tipo de incidentes a las autoridades competentes y a los usuarios afectados cuando se ponga en riesgo su privacidad o intimidad. De este modo, existe la obligación de disponer de un Delegado de Protección de Datos (DPO) cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
Para finalizar, es importante destacar otro aspecto importante que introduce el RGPD, que son importantes multas de hasta un 4% de la facturación global anual o 20 millones de euros.
Desde Legal Works pretendemos concienciarle sobre la importancia de la adaptación e implementación de medidas necesarias de su entidad en aras al cumplimiento del RGPD. Le asesoramos acerca de la elaboración de un plan de cumplimiento, y le mantendremos informado acerca de los aspectos que aún quedan por ir concretando ante la esperada nueva Ley Orgánica de Protección de Datos, que se encuentra en fase de consultas, modificaciones e información pública previa a su aprobación, y en la que se concretarán ciertos aspectos del RGPD, y que sustituirá a la ley actual, publicada en 1999.
Autora: Susana Siles, 11/06/2018
