Dentro de pocos días se pondrá en marcha el nuevo Reglamento General de Protección de Datos (RGPD) que entró en vigor en mayo de 2016 y que será aplicable a partir del 25 de mayo de 2018 en la Unión Europea (UE).
Si bien esta nueva norma será aplicable a partir de esta fecha en todos los Estados miembros, sin necesidad de transposición, es necesario que los ordenamientos nacionales se actualicen, siempre sin contradecir lo dispuesto en el RGPD. En este sentido, el pasado mes de noviembre, el Consejo de Ministros remitió a las Cortes Generales el Proyecto de Ley Orgánica de protección de datos, que tiene por objeto adaptar nuestra legislación nacional al Reglamento (UE) 2016/679 del Parlamento Europeo y, por tanto, sustituir la actual Ley Orgánica 15/1999.
Los auditores en el ejercicio de nuestra profesión procesamos de forma habitual datos personales de nuestros clientes o empleados, como por ejemplo, el DNI, el domicilio particular, la situación familiar, el nivel de ingresos o su número de teléfono, por lo que tenemos que hacer un análisis de riesgos con el fin de establecer las medidas que sean necesarias para garantizar los derechos y las libertades de las personas y revisar nuestros procedimientos para asegurarnos el cumplimiento de las nuevas disposiciones antes del 25 de mayo.
ASPECTOS MÁS DESTACADOS DEL NUEVO RGPD
1.- OBTENCIÓN DEL CONSENTIMIENTO PARA EL TRATAMIENTO DE DATOS
El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en Internet, elegir parámetros técnicos para la utilización de servicios de la sociedad de la información o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento hechas con este o los mismos fines. Si el tratamiento tiene varias finalidades, debe darse el consentimiento para todas.
2.- DERECHOS DE LOS INTERESADOS. INFORMACIÓN Y ACCESO A LOS DATOS PERSONALES
El RGPD otorga a las personas físicas derechos sobre sus datos personales y establece fórmulas y mecanismos para solicitar y, en su caso, obtener gratuitamente el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición. El responsable del tratamiento también debe proporcionar medios para que las solicitudes se presenten por medios electrónicos, en particular cuando los datos personales se tratan por medios electrónicos. El responsable del tratamiento está obligado a responder a las solicitudes del interesado sin dilación indebida, a más tardar en el plazo de un mes, y en explicar los motivos en caso de que no las atendiera.
En concreto, se les informará, entre otras, de las siguientes cuestiones:
– La identidad y los datos de contacto del responsable y, en su caso, de su representante
– Los datos de contacto del delegado de protección de datos, en su caso
– Las finalidades del tratamiento a que se destinan los datos personales
– El plazo durante el cual se conservan los datos personales
– El derecho a solicitar al responsable del tratamiento el acceso a los datos personales y a su rectificación, supresión, limitación u oposición a su tratamiento, así como el derecho a la portabilidad de los datos
– La existencia del derecho a retirar el consentimiento en cualquier momento
– El derecho a presentar una reclamación ante una autoridad de control (Agencia Española de Protección de Datos)
Derecho de acceso del interesado
El interesado (la persona física identificable) tiene derecho a obtener del responsable del tratamiento la confirmación de si se están tratando o no datos personales que le conciernen y, en este caso, derecho de acceso a los datos personales, las finalidades del tratamiento; las categorías de datos personales de que se trate, los destinatarios a los que se comunicaron o se comunicarán los datos personales, el plazo previsto de conservación de los datos personales, el derecho a solicitar del responsable la rectificación o supresión de los datos personales, el derecho a presentar una reclamación ante una autoridad de control. Cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen, la existencia de decisiones automatizadas, incluida la elaboración de perfiles, etc.
Derecho de rectificación
El interesado tiene derecho a obtener del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta las finalidades del tratamiento, el interesado tiene derecho a que se completen los datos personales que sean incompletas, inclusive mediante una declaración adicional.
Derecho de supresión ( «derecho al olvido»)
El interesado tiene derecho a obtener del responsable del tratamiento la supresión de los datos personales que le conciernan. El responsable está obligado a suprimir los datos personales cuando estos datos ya no sean necesarias en relación con las finalidades para las que se recogieron, cuando el interesado retire el consentimiento en que se basa el tratamiento, si los datos personales se tratado ilícitamente, si los datos personales se deben suprimir para el cumplimiento de una obligación legal que se establece en el Derecho de la Unión o de los Estados miembros, etc.
Derecho a la limitación del tratamiento
El interesado tiene derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las siguientes condiciones:
– Cuando el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar su exactitud.
– Cuando el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar, la limitación del uso.
– Cuando el responsable ya no necesite los datos personales para las finalidades del tratamiento, pero el interesado las necesite para la formulación, el ejercicio o la defensa de reclamaciones, etc.
– Cuando el tratamiento de datos personales se haya limitado en virtud del apartado anterior, estos datos sólo pueden ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones.
Derecho a la portabilidad de los datos
El interesado tiene derecho a recibir los datos personales que le incumban, las que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, ya transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que las hubiera facilitado.
Derecho de oposición
El interesado tiene derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, que los datos personales que le conciernan sean objeto de un tratamiento, incluida la elaboración de perfiles. El responsable del tratamiento debe dejar de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones. Cuando el interesado se oponga al tratamiento con fines de marketing directo, los datos personales dejarán de tratarse para estos fines.
Derecho a la Transparencia de la información
El responsable del tratamiento debe tomar las medidas oportunas para facilitar al interesado toda la información relativa a sus datos personales y al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a menores (niños en la terminología del RGPD). La información se facilitará por escrito o por otros medios, inclusive, en su caso, por medios electrónicos. Cuando lo solicite el interesado, la información se puede facilitar verbalmente, siempre que se demuestre la identidad del interesado por otros medios.
3.- EVALUACIÓN DEL IMPACTO DEL TRATAMIENTO DE LOS DATOS PERSONALES
En las organizaciones en que sea probable que las operaciones de tratamiento comporten un riesgo alto para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos ( EIPD), que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de este riesgo. El resultado de la evaluación se debe tener en cuenta cuando se decidan las medidas adecuadas que se deban tomar, con el fin de demostrar que el tratamiento de los datos personales está de acuerdo con el Reglamento.
Si una (EIPD) evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento conllevan un riesgo alto que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, se debe consultar a la autoridad de control antes del tratamiento. El análisis y la gestión de riesgos son procedimientos que permiten a las organizaciones hacer un diagnóstico sobre los riesgos para los tratamientos de datos personales y, a veces, aportar suficiente información para decidir si hay que llevar a cabo o no una Evaluación de Impacto en protección de Datos. La AEPD dispone de Guías de Análisis de Riesgo y Evaluación de Impacto en la Protección de Datos Personales.
4.- VIOLACIÓN DE LA SEGURIDAD DE LOS DATOS PERSONALES
En caso de violación de la seguridad de los datos personales, el responsable del tratamiento deberá notificar a la autoridad de control competente, a más tardar 72 horas después de que haya tenido constancia, a menos que sea improbable que esta violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, debe ir acompañada de la indicación de los motivos de la dilación.
5.- DELEGADO DE PROTECCIÓN DE DATOS
Según el RGPD, las empresas y los terceros que procesen datos personales en su nombre designarán un delegado de protección de datos (DPD) siempre que:
– Se trate de una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial,
– Las actividades principales de la empresa o el tercer consistan en la observación de interesados ??a gran escala; o
– Sus actividades principales consistan en el tratamiento a gran escala de datos personales sensibles, como los datos relativos a condenas o infracciones penales.
El proyecto de Ley Orgánica de protección de datos (en tramitación), amplía la lista de entidades que tiene que nombrar un delegado de Protección de Datos. El DPD se nombrará atendiendo a sus calificaciones profesionales y, en particular, su conocimiento de la legislación y la práctica de la protección de datos. Aunque no tiene que tener una titulación específica, en la medida en que el Auditor) 15 entre las funciones del DPD se incluya el asesoramiento al responsable o encargado en todo lo relativo a la normativa sobre protección de datos, los conocimientos jurídicos en la materia son, sin duda, necesarios, pero también hay que contar con conocimientos ajenos a lo estrictamente jurídico, como por ejemplo en materia de tecnología aplicada al tratamiento de datos o en relación con el ámbito de actividad de la organización en la que el DPD ejerce su tarea.
La AEPD, en colaboración con la Entidad Nacional de Acreditación, disponen de un sistema de certificación de profesionales de protección de datos como herramienta útil a la hora de evaluar que los candidatos a ocupar el puesto de DPD reúnen las calificaciones profesionales y los conocimientos que se requieren. La certificación no es un requisito indispensable para el acceso a la profesión, es sólo una opción a disposición de responsables y encargados para facilitar la selección de los profesionales.
No es imprescindible que el DPD sea un empleado directo, sino que puede ejercer esta función en el marco de un contrato de servicios y puede desarrollar su función a tiempo parcial o completo. Los datos de contacto del DPD se harán públicas y se comunicarán a las autoridades de supervisión competentes.
6.- REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO
Las organizaciones que habitualmente realicen un tratamiento de datos de riesgo para la privacidad de los interesados ??o traten datos sensibles, deben llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro contendrá, entre otras cuestiones, información relativa a los datos de contacto del responsable, las finalidades del tratamiento, una descripción de las categorías de los datos personales, los destinatarios de los datos, los plazos previstos para la supresión, las medidas técnicas y organizativas de seguridad adoptadas.
Estas obligaciones no se aplican a ninguna empresa ni organización que tenga menos de 250 empleados, a menos que el tratamiento que realice pueda suponer un riesgo para los derechos y las libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales como: origen étnico, opciones políticas o religiosas, afiliación sindical, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, datos personales relativos a condenas e infracciones penales, etc.
7.- PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO
Este principio define la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas adecuadas para garantizar y poder demostrar que el tratamiento está de acuerdo con el Reglamento. Este concepto requiere que las organizaciones analicen qué datos tratan, con qué fines lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento determinarán explícitamente cómo aplicarán las medidas previstas en el RGPD, y deben asegurar que estas medidas son las adecuadas para cumplir con este y que pueden demostrarlo ante los interesados ??y ante las autoridades de supervisión. Este tipo de medidas pretenden reflejar el enfoque de responsabilidad proactiva. Se trata de implementar medidas de protección de datos desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales.
El responsable del tratamiento debe aplicar las medidas técnicas y organizativas adecuadas para garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales necesarios para cada una de las finalidades específicas del tratamiento. Esta obligación se aplicará en relación con la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos.
8.- SANCIONES
La entrada en vigor del Reglamento General de Protección de Datos (RGPD), incrementa significativamente las sanciones que se derivan del incumplimiento.
A modo de ejemplo, podemos decir que son objeto de sanción (entre otros) las conductas siguientes:
– No atender los derechos de los interesados ??(acceso, rectificación, oposición, portabilidad, derecho al olvido, etc.)
– Las cesiones de datos a terceros sin consentimiento del interesado
– El tratamiento de datos para fines diferentes a las autorizadas
– Ignorar las violaciones de las medidas de seguridad
– Etc.
Dependiendo del artículo del Reglamento General de Protección de Datos que se haya vulnerado, las infracciones se sancionarán con multas administrativas que van de los 10 millones a 20 millones de euros como máximo o, al tratarse de una empresa , de una cuantía equivalente al 2% o al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, y se optará por la de mayor cuantía. Además de las multas administrativas, el reglamento prevé que las sanciones puedan implicar también la prohibición del tratamiento de datos o la suspensión de las transferencias internacionales de datos.
Juan Luis Casanova Torreiro, Partner en Audria Auditoría y Consultoría S.L.P
