Nueva Regulación – Reglamento General de Protección de Datos (RGPD)

El día 25 de mayo de 2018 será de aplicación obligatoria el nuevo Reglamento General de Protección de Datos (“RGPD”).

En Grupo Gestiona-t velamos porque nuestros clientes estén al día en lo que se refiere a cumplimiento normativo y entendemos que este nuevo desarrollo legislativo tiene especial importancia en la medida en que implica importantes novedades en cuanto a nuevas obligaciones para los empresarios, y sanciones económicas asociadas al incumplimiento de estas.

A continuación, les explicamos las principales novedades que trae el RGPD con respecto a la normativa nacional vigente en materia de protección de datos (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo) seguirá siendo de obligado cumplimiento hasta entonces.

1. ¿A quién aplica el RGPD?

El RGPD le es de aplicación si:

• su compañía está establecida en la Unión Europea y trata datos personales como parte de su actividad, independientemente del lugar donde sean tratados los datos; o
• su compañía está establecida fuera de la Unión Europea y ofrece productos o servicios (de pago o gratuitos), u observa el comportamiento de las personas en la Unión Europea.

En cualquier caso, la respuesta a las siguientes preguntas podrá ayudar a concluir si su compañía trata datos de carácter personal, así como el alcance del tratamiento:

• ¿Qué datos trata?
• ¿De quién son los datos que trata?
• ¿Con qué finalidad los trata?
• ¿Con qué medios los trata?
• ¿Quién efectúa ese tratamiento?
• ¿Dónde se lleva a cabo el tratamiento?

El concepto de “datos personales” se refiere a toda información relativa o que se refiere a una persona física identificada o identificable directa o indirectamente. El RGPD, a diferencia de la vigente LOPD, añade en la propia definición de dato personal ejemplos de qué se consideraría un dato de carácter personal: un nombre, un número de identificación, datos de localización, un identificador en línea, uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social.

El RGPD define el “tratamiento” como cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

2. ¿Qué novedades trae el RGPD?

De entre ellas, exponemos a continuación las principales:

• Responsabilidad proactiva del responsable.

El responsable del tratamiento no solo deberá asegurarse de cumplir con el RGPD, sino que, además, deberá ser capaz de demostrar dicho cumplimiento.

• Forma de recabar el consentimiento del afectado.

Si bien es cierto que hasta ahora se ha venido aceptando la posibilidad de que el consentimiento sea prestado de forma tácita, el RGPD exige que el consentimiento se otorgue mediante un acto afirmativo claro, y que el responsable deberá poder demostrar el otorgamiento de ese consentimiento.

• RAT – Registro de Actividades de Tratamiento.

La obligación de inscripción de ficheros desaparece, y se establece la obligación de realizar un Registro de Actividades de Tratamiento (RAT), que deberá constar por escrito.

El RAT servirá para concretar, entre otros, qué tratamientos se efectúan, por lo que es fundamental efectuarlo de manera ajustada a la realidad, pues, de lo contrario, todo aquello que no se haya identificado en el RAT parecerá inexistente. Para esta labor serán de ayuda los ficheros que han sido identificados e inscritos en el Registro General de Protección de Datos conforme a la normativa actualmente vigente.

Si bien es cierto que el RGPD concreta los supuestos en los que el RAT será de obligada ejecución, la realidad es que pocos serán los casos que queden excluidos de la obligación de llevarlo a cabo.

• Derechos del interesado.

Con el RGPD surgen nuevos derechos, tales como el derecho de supresión (“derecho al olvido”), el derecho a la limitación del tratamiento, el derecho a la portabilidad de los datos y el derecho a la intervención humana en los procesos automatizados que tengan efectos sobre los derechos y libertades de mi persona.

Ante este cambio, los procedimientos para el ejercicio de los derechos y la respuesta a los mismos por parte del responsable deberán ser revisados y adecuados al nuevo contexto normativo.

• Análisis de riesgo para la adopción de las medidas de seguridad.

Hasta ahora el tratamiento de datos se ha venido categorizando como de nivel bajo, medio o alto. Ahora, con el RGPD, habrá que realizar un análisis de riesgo con la finalidad de concretar el tipo de medidas de seguridad que deberán adoptarse en función del tratamiento que se efectúe.

• Evaluaciones de Impacto.

“A fin de mejorar el cumplimiento del presente Reglamento en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo (…)”. (Considerando 84 del RGPD). Sobre la base de lo anterior, la Evaluación de Impacto está encaminada a cubrir aquellos supuestos en los que el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, y deberá efectuarse con anterioridad a efectuar dicho tratamiento.

El RGPD menciona los siguientes supuestos como supuestos de tratamientos que conllevan un alto riesgo y, por tanto, requieren una Evaluación de Impacto:

• cuando se lleva a cabo una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
• cuando haya un tratamiento a gran escala de categorías especiales de datos personales o de los datos personales relativos a condenas e infracciones penales.
• cuando exista una observación sistemática a gran escala de una zona de acceso público.

Sin perjuicio de la lista anterior, cada autoridad de control estatal, en nuestro caso, la Agencia Española de Protección de Datos, podrá establecer otros supuestos de tratamientos que requieran una Evaluación de Impacto.

• Notificación de Violaciones de Seguridad.

Ante una violación de la seguridad de los datos personales se establece la obligación de comunicarlo a la Agencia Española de Protección de Datos y, a los interesados -cuando la violación de seguridad entrañe un “alto riesgo” para sus derechos y libertades-, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que se haya tenido constancia de la violación de seguridad, SALVO que se pueda demostrar que es improbable que la violación de seguridad entrañe un riesgo para los derechos y libertades de los interesados, en cuyo caso, no será necesaria tal comunicación. En cualquier caso, el responsable del tratamiento deberá documentar cualquier violación de la seguridad de los datos personales. Por lo anterior, establecer un procedimiento interno de actuación ante violaciones de seguridad es fundamental para garantizar el cumplimiento de las exigencias del RGPD ante violaciones de seguridad.

• Nombramiento de Delegado de Protección de Datos (DPD).

El RGPD incluye la figura del Delegado de Protección de Datos, que deberá contar con conocimientos especializados en Derecho, y entre cuyas funciones se encuentran las de informar y asesorar al responsable, al encargado y a los trabajadores de las obligaciones que les atribuyen el RGPD y cualquier otra disposición normativa nacional -la Nueva LOPD en el caso español-; así como supervisar el cumplimiento de dichas obligaciones.

El responsable y el encargado de tratamiento deberán nombrar un DPD en los siguientes supuestos:

• siempre que el tratamiento de datos lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
• cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, debido a su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
• cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.
• en otros supuestos regulados por los estados miembros o cuando lo exija el Derecho de la Unión.
• por designación voluntaria del responsable y/o del encargado.

Por lo anterior, habrá que realizar una labor de concreción de la obligatoriedad o exención de nombrar un DPD, así como, en los supuestos que no sea necesario, si resulta idóneo su nombramiento.

No necesariamente el DPD deberá ser un miembro del equipo del responsable, sino que podrá ser un tercero ajeno a la empresa e incluso una persona jurídica que preste servicios de DPD.

A diferencia de la LOPD, el RGPD no cuantifica las sanciones en función de si se trata de una infracción leve, grave o muy grave; ni establece mínimos, sino máximos. Por esta razón, la Nueva LOPD adaptará lo dispuesto en el RGPD en materia de infracciones y sanciones al régimen sancionador propio del ordenamiento jurídico español. Para mayor claridad, se recoge a continuación una comparativa de las cuantías de las sanciones conforme a la LOPD y al RGPD: