Mucho se está hablando de la entrada en vigor de la nueva normativa de Protección de Datos (RGPD), pero en qué tendrá que fijarse una entidad que ha venido cumpliendo escrupulosamente con la anterior regulación (LOPD y su Reglamento de desarrollo). ¿Siempre va a suponer una carga adicional de obligaciones?
A continuación, vamos a analizar en qué medida van a cambiar las obligaciones de los responsables del tratamiento de datos, si bien ya anticipamos que una de las características principales del RGPD es que mientras que las obligaciones de la LOPD estaban basadas casi exclusivamente por el tipo de datos que trataban, ahora se toman en consideración más variables (tales como el volumen de datos, si el tratamiento es automatizado, o si se realiza a través de Internet, etc.)
OBLIGACIONES QUE HAN DESAPARECIDO
Inscripción de ficheros
Hasta ahora se comunicaba a la Agencia de Protección de Datos la creación de ficheros con datos de carácter personal, quedando inscritos en el Registro General de Protección de Datos. Cualquier usuario podía acceder a este Registro y comprobar los ficheros inscritos de cualquier sociedad. Con la nueva normativa desaparece esta obligación.
El documento de seguridad
Hasta ahora, cualquier sociedad que trataba datos de carácter personal tenia la obligación de elaborar un documento de seguridad que debía recoger las medidas de índole técnica y organizativa acordes a la normativa. Este documento tenía el carácter de documento interno de la organización. Con la entrada en vigor del RGPD desaparece esta obligación.
OBLIGACIONES QUE SE HAN MODIFICADO
Consentimiento
La forma de recabar el consentimiento de los afectados, bien sea para el tratamiento de sus datos o para su cesión a terceros, con la anterior normativa (salvo cuando los datos fueran de protección alta) podía ser de manera tácita. A partir de ahora el consentimiento deberá ser recabado de manera expresa. Esto lo que significa es que si una entidad en su día recabó un consentimiento de forma tácita (si usted no dice lo contrario entenderemos que sí) para un tratamiento de datos determinado, por ejemplo, el envío de publicidad, a partir del 25 de mayo no podrá seguir enviando publicidad, salvo que antes no vuelva a solicitar el consentimiento de forma expresa.
Medidas de seguridad
El Reglamento de Desarrollo de la LOPD determinaba de forma exhaustiva las medidas de seguridad que se debían aplicar en cada caso, mientras que, en el RGPD, los responsables y encargados deberán analizar previamente los riesgos que existen y establecer las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado.
Derecho de información
Las cláusulas informativas a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Por tanto, se deberán evitar las fórmulas especialmente farragosas y que incorporan remisiones a los textos legales.
Las cláusulas informativas deberán explicar el contenido al que inmediatamente se refieren de forma clara y accesible para los interesados, con independencia de sus conocimientos en la materia.
Se establece una lista exhaustiva de la información que debe proporcionarse a los interesados (más amplia que la que actualmente contiene la LOPD) y que añade:
- Base jurídica del tratamiento
- Intención de realizar transferencias internacionales
- Datos del Delegado de Protección de Datos (si lo hubiere)
- Elaboración de perfiles
Además, en la medida en que los derechos de los interesados han aumentado (derecho a la portabilidad, el derecho al olvido y el derecho a la limitación del tratamiento), se deberán de incorporar a nuestras clausulas informativas. Además, se contempla la posibilidad de informar a través de un sistema de capas, es decir una primera capa con una información simplificada y una segunda capa con toda la información necesaria.
Relación con el encargado del tratamiento
El responsable del tratamiento deberá elegir un encargado del tratamiento que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas, de acuerdo con lo establecido en el RGPD, y que garantice la protección de los derechos de las personas afectadas. Existe, por tanto, un deber de diligencia en la elección del responsable.
La regulación de la relación entre el responsable y el encargado del tratamiento debe establecerse a través de un contrato o de un acto jurídico similar que los vincule. El contrato o acto jurídico debe constar por escrito, inclusive en formato electrónico.
El responsable del tratamiento no pierde esta consideración en ningún caso y, por tanto, continúa siendo responsable del correcto tratamiento de los datos personales y de la garantía de los derechos de las personas afectadas. Es por ello que el responsable tiene una obligación de especial diligencia en la elección y supervisión del encargado.
Habrá pues que comprobar los contratos en materia de protección de datos firmados con todas aquellas entidades que nos presten un servicio y que tengan acceso a los datos personales de los que somos responsables.
NUEVAS OBLIGACIONES
Registro de operaciones de tratamiento
Los responsables y encargados deberán mantener un registro de operaciones de tratamiento en el que se contenga la información que establece el RGPD y que contenga cuestiones como:
- Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos si existiese
- Finalidades del tratamiento
- Descripción de categorías de interesados y categorías de datos personales tratados
- Transferencias internacionales de datos.
No obstante, estarán exentas de las organizaciones que empleen a menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.
Notificación de las violaciones de seguridad
Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados. Esta notificación debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.
En los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos, con el objetivo de que puedan tomar medidas para protegerse de sus consecuencias tan pronto como sea posible.
Delegado de protección
El RGPD crea una figura hasta ahora inédita y es la del Delegado de Protección de Datos (DPD), que solamente será obligatorio en:
- Autoridades y organismos públicos
- Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
- Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles
El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos. Entre las funciones del delegado de protección de datos se incluye el asesoramiento al responsable o encargado en todo lo relativo a la normativa sobre protección de datos.
La designación del DPD y sus datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a la Agencia de Protección de Datos, ya que entre sus funciones está la de actuar como punto de contacto para los interesados en todo lo que tenga relación con el tratamiento de sus datos personales.
Como conclusión a este repaso que hemos dado de todas aquellas obligaciones que recaen en el responsable del tratamiento, podemos decir que no en todos los casos la carga de las obligaciones en protección de datos se va a ver incrementada sino que dependiendo del tipo y volumen de datos, y del canal utilizado, en muchos casos será posible que se vea atenuada.
