Aplicación del nuevo Reglamento General de Protección de Datos (RGPD)

Aplicación del nuevo Reglamento General de Protección de Datos (RGPD)

A continuación exponemos un breve resumen de las novedades del nuevo Reglamento General de Protección de Datos (RGPD) en relación con las obligaciones del responsable del tratamiento de datos personales. Al respecto hay que tener en cuenta que el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal se encuentra en tramitación parlamentaria en estos momentos, por lo que es posible que el texto finalmente aprobado difiera del actual Proyecto. Si bien, el 25 de mayo comienza a aplicarse a nivel europeo el RGPD, que es directamente aplicable en los Estados miembros, y que establece un marco general que los estados no puede contradecir a través de su legislación interna.

Obligaciones del responsable del tratamiento bajo el RGPD

El RGPD consagra lo que se denomina el principio de responsabilidad activa y establece un catálogo de las medidas que los responsables deben aplicar para garantizar que los tratamientos que realizan son conformes con el Reglamento y poder estar en condiciones de demostrarlo. Dichas medidas son principalmente las siguientes:

  1. El análisis de riesgos: el responsable debe realizar una valoración del riesgo de los tratamientos que realice, a fin de poder establecer qué medidas debe aplicar y cómo debe hacerlo. Dicho análisis será el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.
  2. Llevar un registro de operaciones de tratamiento. Están exentas las organizaciones que empleen a menos de 250 trabajadores.
  3. Desde el propio diseño informático de los distintos tratamientos, los responsables deben adoptar las medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos.
  4. El responsable deberá establecer aquellas medidas técnicas y organizativas que considere apropiadas para garantizar un nivel de seguridad adecuado, en función de los riesgos detectados en el análisis de riesgos previo. A diferencia de las medidas de seguridad específicas en función del tipo de datos tratados que establecía la normativa anterior.
  5. El nombramiento de un delegado de protección de datos: solo es obligatorio en empresas que lleven a cabo una observación habitual y sistemática de interesados o en empresas que traten a gran escala categorías especiales de datos.
  6. Evaluación de Impacto sobre la Protección de Datos (EIPD) con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados. Solo es obligatoria en aquellas empresas que deban tener un Delegado de Protección de Datos.
  7. Hay obligación de denunciar las violaciones de seguridad de los datos.
  8. Los datos solo podrán ser comunicados fuera del Espacio Económico Europeo:
  • A países, territorios o sectores específicos (el RGPD incluye también organizaciones internacionales) sobre los que la Comisión haya adoptado una decisión reconociendo que ofrecen un nivel de protección adecuado
  • Cuando se hayan ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destino


Legitimación para el tratamiento de datos

El tratamiento de datos personales de acuerdo con el RGPD se asienta sobre las mismas bases jurídicas de la Directiva 95/46. Dichas bases jurídicas que legitiman el tratamiento de datos por parte de aquellas empresas que operan en sectores comerciales o industriales privados no específicos (distintos por ejemplo del financiero, de seguros, el sanitario, etc.), son habitualmente el consentimiento del interesado y las relaciones contractuales.

Desde el punto de vista del consentimiento, el RGPD sí establece novedades respecto a la anterior regulación, en el sentido de que no se permite el consentimiento por omisión sino que debe ser inequívoco, lo que supone que se haya prestado mediante una manifestación expresa del interesado o mediante una clara acción afirmativa.

Obligación de información

Para que el consentimiento del interesado se preste con total garantía, el RGPD exige que la información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, se proporcione de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

En este sentido, añade nuevos requisitos de información que deben constar en las cláusulas informativas, de forma que, con el nuevo RGPD las cláusulas informativas deberán necesariamente contener los siguientes datos:

  • La existencia del fichero o tratamiento, su finalidad y destinatarios.
  • El carácter obligatorio o no de la respuesta, así como de sus consecuencias.
  • La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • La identidad y datos de contacto del responsable del tratamiento
  • Los datos de contacto del Delegado de Protección de Datos, en su caso,
  • La base jurídica o legitimación para el tratamiento,
  • El plazo o los criterios de conservación de la información
  • La existencia de decisiones automatizadas o elaboración de perfiles,
  • El derecho a presentar una reclamación
  • La previsión de transferencias a Terceros Países

En la medida en que se incorporan nuevos datos de los que se debe informar a los interesados a la hora de recoger sus datos personales, ello supone que los procedimientos, modelos o formularios utilizados de conformidad con la regulación anterior deberán ser revisados y adaptados al RGPD.

Tratamiento de datos por cuenta de terceros

Los Contratos de Encargados del Tratamiento, que las empresas mantienen con terceros para el tratamiento de datos de los que son responsables, también tendrán que ser actualizados para cumplir con el RGPD.

El contrato tiene que constar por escrito y deberá detallar las instrucciones del responsable al encargado en relación con las medidas de seguridad, el régimen de subcontratación, la confidencialidad y el destino de los datos tras finalizar la prestación del servicio

El RGPD regula de forma minuciosa el contenido mínimo de los contratos de encargo, que debe referirse, entre otros a los siguientes aspectos:

  • Objeto, duración, naturaleza y la finalidad del tratamiento
  • Tipo de datos personales y categorías de interesados
  • Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable
  • Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones
  • Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados.

En la medida en que el RGPD regula de forma más detallada estos contratos, los contratos de encargo concluidos con anterioridad a la aplicación del RGPD deben modificarse y adaptarse a los nuevos contenidos.

Esta obligación afecta con carácter general a aquellos contratos con gestorías y empresas de gestión de nóminas de los empleados.

Transferencia internacional de datos

Los datos solo podrán ser comunicados fuera del Espacio Económico Europeo:

  • A países, territorios o sectores específicos (el RGPD incluye también organizaciones internacionales) sobre los que la Comisión haya adoptado una decisión reconociendo que ofrecen un nivel de protección adecuado
  • Cuando se hayan ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destino
  • Cuando se aplique alguna de las excepciones que permiten transferir los datos sin garantías de protección adecuada por razones de necesidad vinculadas al propio interés del titular de los datos o a intereses generales

Acciones a llevar a cabo

  1. Con la entrada en vigor del nuevo RGPD el responsable del tratamiento deberá realizar una auto-evaluación sobre el tipo de datos que trata y el riesgo de los tratamientos que realiza.
  2. A partir de dicho análisis deberá diseñar los distintos tratamientos en cuanto a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos dentro de la organización, y determinar las medidas técnicas y organizativas adecuadas de seguridad que debe implantar.
  3. Las empresas con menos de 250 trabajadores, que no realicen tratamientos a gran escala de datos sensibles ni requieran una observación habitual y sistemática de interesados NO ESTAN OBLIGADAS a llevar un registro de actividades de tratamiento, nombrar delegado de protección de datos ni realizar un Estudio de Impacto de Protección de Datos.
  4. Es necesario adaptar las cláusulas de datos personales de los distintos tipos de contratos que realice el responsable (con clientes, proveedores, potenciales clientes, empleados, etc.) para incluir toda la información que exige el RGPD, así como las menciones legales que se contengan en la página web.
  5. Es necesario modificar los contratos con los encargados de tratamiento por cuenta de terceros (habitualmente la gestión de nóminas).
  6. Es necesario solicitar consentimiento expreso para el tratamiento de aquellos datos que se hayan obtenido con anterioridad a la aplicación del RGPD.

 

Begoña Power
Socia del departamento mercantil