El pasado 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), aunque su aplicación efectiva no se producirá hasta mayo de 2018. Este plazo de casi dos años para su aplicación no implica que las empresas y organismos deban obviar su cumplimiento hasta la mencionada fecha, sino muy al contrario, se aconseja iniciar un proceso de adecuación progresivo y continuo en todos aquellos aspectos del nuevo Reglamento que sean compatibles con la normativa vigente. La propia Agencia Española de Protección de Datos ha recomendado, a través de nota de prensa emitida el pasado 29 de junio, que las organizaciones vayan adaptando sus procesos internos a las novedades legislativas.
Pero, ¿por dónde empezar?, ¿cómo ir adecuando la actividad de las organizaciones a la nueva regulación?; ¿qué novedades introduce el Reglamento General de Protección de Datos y cómo compaginar su cumplimiento con la normativa actual? Son muchas las cuestiones y retos que se plantean, por lo que, con el fin de facilitar este proceso, indicamos a continuación las principales novedades del RGPD respecto de la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y proponemos las recomendaciones para la adecuación progresiva a la nueva normativa:
1. Obtención del consentimiento para el tratamiento de datos
- Normativa actual (LOPD): La actual LOPD exige el consentimiento inequívoco de los interesados para el tratamiento de sus datos. No obstante, si los datos recabados no son especialmente sensibles, se admite que dicho consentimiento pueda ser tácito, tal y como se establece en el Informe Jurídico 0645/2009 emitido por la Agencia Española de Protección de Datos. Por otra parte, en relación con el tratamiento de datos de menores, la LOPD establece, salvo excepciones legales, la posibilidad de recabar datos personales de mayores de 14 años sin necesidad de recabar el consentimiento de sus padres.
- Normativa futura (RGPD): El RGPD mantendrá los mismos principios del consentimiento que establece la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco. Sin embargo, como novedad respecto de la LOPD, indica que para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad. El silencio, las casillas ya marcadas o la inacción no constituirán prueba de consentimiento (Considerando 32 del RGPD).
Se establecen asimismo condiciones específicas para obtener el consentimiento de los menores: no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será menos de 13 años.
- Recomendaciones: Es aconsejable que las empresas y organismos revisen la forma en la que recaban el consentimiento y eliminen las prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa pero que dejarán de serlo cuando el Reglamento sea de aplicación. Asimismo, en relación con el tratamiento de datos de menores, se recomienda aplicar ya los requisitos de edad establecidos en el RGPD.
2. Deber de información
- Normativa actual (LOPD): Nuestra legislación actual establece la obligación de informar en todo proceso de recogida de datos personales sobre la existencia de un fichero o tratamiento de datos de carácter personal, la identidad del responsable del tratamiento, la finalidad de la recogida de los datos y de los destinatarios de la información, así como de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. Asimismo, cuando los datos personales se hayan obtenido de terceros, el responsable del tratamiento dispondrá de un plazo de tres meses para informar al interesado, debiendo indicar la procedencia de los datos.
- Normativa aplicable en 2018 (RGPD): El Reglamento establece la obligación de informar sobre nuevos aspectos. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, el período de conservación de los mismos y que los interesados podrán dirigir sus reclamaciones a las Autoridades de protección de datos, si consideran que hay un problema con la forma en que están manejando sus datos. En lo que respecta al interesado cuyos datos se han obtenido de otra fuente, la información anteriormente indicada deberá facilitarse en el plazo de máximo de un mes (en lugar de los tres meses indicados en la LOPD).
- Recomendación: Es aconsejable que las empresas y organismos comiencen ya a revisar los contenidos de las leyendas legales que hayan incorporado en los procesos de recogida de datos (on line/ off line) para ir adecuando la redacción a los nuevos requerimientos del RGPD
3. Derechos de los interesados
- Normativa actual (LOPD): los derechos reconocidos en la actual LOPD son los siguientes:
- Derecho de acceso,
- Derecho de rectificación,
- Derecho de oposición,
- Derecho de cancelación.
- Normativa futura (RGPD): En el RGPD se incluyen, además de los anteriores, los siguientes derechos:
- Derecho a la transparencia de la información,
- Derecho de supresión (derecho al olvido),
- Derecho de limitación,
- Derecho de portabilidad.
Otra novedad, respecto de la LOPD, es que se establece la obligación para el responsable del tratamiento de proporcionar medios para que las solicitudes de ejercicio de derechos se presenten por medios electrónicos, en particular cuando los datos personales se hayan recabado a través de estos medios (Considerando 59).
- Recomendaciones: Es aconsejable que las organizaciones comiencen a implementar en sus procedimientos de información (leyendas legales incluidas en los procesos de recogida de datos de carácter personal) los nuevos derechos que asisten a los interesados.
4. Evaluación de impacto del tratamiento de datos personales
- Normativa actual (LOPD): No se regula en la LOPD.
- Normativa aplicable en 2018 (RGPD): Se establece la obligación de realizar una evaluación de impacto (Privacy Impact Assesment) para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas, en la que se evalúe el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo (Considerando 84 del RGPD).
- Recomendaciones: En 2014, la Agencia Española de Protección de Datos publicó la Guía para una Evaluación de Impacto en la protección de Datos Personales. Se trata de un documento de referencia del que las organizaciones pueden disponer para ir estableciendo las bases y aspectos esenciales que deberán tener en cuenta en el proceso de la evaluación de impacto que deberán realizar.
5. Comunicación de fallos a la autoridad de protección de datos
- Normativa actual (LOPD): No se regula en la LOPD.
- Normativa aplicable en 2018 (RGPD): Se trata de una nueva obligación del RGPD que impone al responsable del tratamiento la obligación de notificar los fallos de seguridad que se produzcan en su organización, a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas. El responsable del tratamiento debe contar con un sistema efectivo para realizar el reporte a la AEPD o para comunicar el fallo a los afectados si existe algún riesgo para sus derechos.
- Recomendaciones: Hasta el momento de aplicación efectiva del RGPD, las organizaciones pueden ir estableciendo, al menos, procesos internos para canalizar las comunicaciones de brechas de seguridad o incidentes que afecten a la protección de datos. Estas comunicaciones internas deben realizarse a la persona que asumirá la figura de Delegado de Protección de Datos, en su defecto, a la persona encargada de coordinar el cumplimiento de la normativa de protección de datos.
6. Registro de tratamiento de datos
- Normativa actual (LOPD): No se regula en la LOPD.
- Normativa aplicable en 2018 (RGPD): Según lo previsto en el artículo 30 del RGPD, las organizaciones que habitualmente realicen tratamiento de datos de riesgo para la privacidad de los interesados, o traten datos sensibles, deberán contar con un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener información relativa, entre otros aspectos, a los tratamientos de datos que se realicen, los datos personales que se traten, los destinatarios de los datos, los plazos previstos para la supresión, la finalidad de dicho tratamiento y las medidas técnicas y de seguridad adoptadas por la empresa para realizar dicho tratamiento.
- Recomendaciones: Se recomienda a las organizaciones que traten datos de riesgo para la privacidad de los interesados o traten datos sensibles, que pongan en marca la redacción de este registro de tratamiento de datos. De momento, puede integrarse este registro en el Documento de Seguridad, hasta que la Agencia Española de Protección de Datos facilite instrucciones concretas acerca del formato y gestión de este registro interno.
7. Aplicación de medidas de seguridad
- Normativa actual (RLOPD): Actualmente el RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (RLOPD) establece la obligación de aplicar diferentes medidas de seguridad, en función del nivel básico, medio o alto de los datos tratados. Dichas medidas se concretan y describen en el Documento de Seguridad.
- Normativa aplicable en 2018 (RGPD): El RGPD ya no distingue entre ficheros de nivel básico, medio o alto, sino que especifica que las medidas de seguridad se aplicarán teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. La nueva legislación habla de “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al riesgo, pero no concreta qué tipo de medidas deben aplicarse, a diferencia de lo que ocurre con el actual RLOPD que describe de manera detallada cada medida de seguridad que debe implementar el responsable del tratamiento.
- Recomendaciones: De momento, basta con que se mantenga actualizado el Documento de Seguridad, siempre que las medidas técnicas y organizativas sean adecuadas para garantizar la seguridad, integridad y privacidad de la información de carácter personal tratada.
8. Delegado de protección de datos (dpo)
- Normativa actual (RLOPD): El RLOPD, recoge en su artículo 95 la figura de Responsable de Seguridad, cuya designación es obligatoria en caso de tratamiento de ficheros de nivel medio/alto. Sus funciones se centran en coordinar la implementación de las medidas de seguridad establecidas en el mencionado RLOPD.
- Normativa aplicable en 2018 (RGPD): Se introduce la nueva figura del Data Protection Officer o Delegado de Protección de Datos, que asume nuevas y cualificadas competencias en materia de coordinación y control del cumplimiento de la normativa de protección de datos. Sus funciones se centran en:
- Informar y asesorar al responsable del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el Reglamento General. Debe dejar constancia en papel de las comunicaciones con el responsable del tratamiento y sus respuestas.
- Supervisar la aplicación de las normas por el encargado del tratamiento en materia de protección de datos personales. Dentro de este apartado se incluyen: asignación de responsabilidades, formación del personal y auditorías correspondientes.
- Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
- Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella por solicitud de las mismas o por iniciativa propia.
- Ejercer de punto de contacto con la autoridad de control sobre cuestiones relacionadas con el tratamiento de datos personales.
Dicha figura será obligatoria cuando:
- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de datos a gran escala; o
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.
- Recomendaciones: Para aquellas organizaciones que deban contar con un Delegado de Protección de Datos, sería conveniente que se designara ya esta figura, con el fin de que el DPO inicie el proceso de implementación de las novedades legislativas del RGPD de manera progresiva, así como para que vaya difundiendo en la organización los nuevos procedimientos internos.
9. Privacidad desde el diseño y por defecto, códigos de conducta y esquemas de certificación
- Normativa actual (LOPD): No se regula en la LOPD.
- Normativa aplicable en 2018 (RGPD): Se avanza un paso más para reforzar el concepto de accountability empresarial, es decir, la responsabilidad proactiva en el cumplimiento normativo. Para ello, el RGPD establece la privacidad desde el diseño y por defecto, con el fin de que se garantice el cumplimiento con carácter previo al tratamiento de datos y durante dicho tratamiento. Asimismo, el RGPD propone como mecanismos efectivos de verificación del cumplimiento, la adhesión a códigos de conducta o a mecanismos de certificación (artículo 42.3 del RGPD).
- Recomendación: Es aconsejable que las organizaciones que tengan procesos complejos de tratamiento de datos o manejen datos especialmente sensibles, implementen protocolos internos o procesos de certificación que faciliten y garanticen el cumplimiento del RGPD.
Conclusión:
Las organizaciones tienen casi dos años por delante para ir adecuando de manera progresiva sus procesos internos a los requisitos del Reglamento General de Protección de Datos. Este periodo debe invertirse para adaptar las medidas jurídicas, técnicas y organizativas, de modo que cuando llegue la fecha de su efectiva aplicación en mayo de 2018, las organizaciones hayan culminado el proceso progresivo de adecuación y hayan implementado de manera efectiva los aspectos que garanticen el cumplimiento de la nueva regulación europea en materia de protección de datos.