Normas para los responsables de tratamiento de datos según el Reglamento Europeo

28 de febrero de 2018

El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y será aplicable a partir de mayo de 2018. Durante este periodo transitorio, aunque continúan vigentes las disposiciones de la Directiva 95/46 y las normas nacionales que la desarrollan, los responsables y encargados de tratamiento de datos deben prepararse para cumplir las exigencias del RGPD en cuanto sea aplicable.

La norma de referencia clara es, por tanto, el propio Reglamento, no las normas nacionales. Las organizaciones que ya cumplen con la LOPD cuentan con una base sólida para aplicar el RGPD correctamente a partir de mayo. Sin embargo, es importante señalar que el nuevo Reglamento introduce ciertas normas que suponen nuevas obligaciones para los responsables de tratamiento.

Novedades del RGPD

La mayor innovación del RGPD deriva principalmente de dos elementos clave:

1. Principio de responsabilidad proactiva

Según este principio, las organizaciones deben asegurar que cualquier tratamiento de datos se realiza de acuerdo con el Reglamento. Esto implica analizar qué datos se tratan, con qué finalidades y qué tipo de operaciones de tratamiento se llevan a cabo, adoptando las medidas necesarias para acreditar el cumplimiento normativo.

2. Enfoque de riesgo

El RGPD establece la obligación de valorar el riesgo que un tratamiento de datos pueda suponer para los derechos y libertades de las personas. Por ello, ciertas medidas que recoge el Reglamento se aplicarán únicamente cuando exista un alto riesgo, mientras que otras deberán ajustarse a la probabilidad e impacto de los posibles riesgos que los tratamientos conlleven.

Base Legal para el Tratamiento de Datos

El tratamiento de datos debe tener una base legal. Identificar la base que legitime el tratamiento es imprescindible y debe adaptarse al tipo de tratamiento y a las características de la organización. El RGPD mantiene el principio de la Directiva 95/46, por el cual todo tratamiento de datos necesita apoyarse en una base que lo legitime, y recoge las mismas bases jurídicas que contemplaba la Directiva (y que reproduce la LOPD):

• Consentimiento
• Relación contractual
• Intereses vitales del interesado o de otras personas
• Obligación legal para el responsable
• Interés público o ejercicio de poderes públicos
• Intereses legítimos prevalentes del responsable o de terceros a los que se comuniquen los datos

En este sentido, el Reglamento no introduce cambios significativos para los responsables de tratamiento que ya cumplían con dichas bases legales.

Consentimiento

De acuerdo con el RGPD, el consentimiento debe ser inequívoco y prestarse mediante una manifestación del interesado o una clara acción afirmativa. Hay situaciones en las que, además de inequívoco, debe ser explícito:

• Tratamiento de datos sensibles
• Adopción de decisiones automatizadas
• Transferencias internacionales

El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduce de la acción del interesado (por ejemplo, al continuar navegando en un sitio web que informa sobre el uso de cookies). No obstante, a diferencia del Reglamento de Desarrollo de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción.

Para más información acerca del consentimiento, puede consultar el siguiente enlace: Consentimiento .

Transparencia e Información a los Interesados

La información sobre el tratamiento de datos personales debe proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, usando un lenguaje claro y sencillo. Esto refuerza el control del individuo sobre sus datos y asegura que comprenda adecuadamente cómo serán tratados.

Derechos y su Ejercicio

Los responsables deben facilitar el ejercicio de los derechos de los interesados, ofreciendo procedimientos visibles, accesibles y sencillos. Cuando el tratamiento se realice por medios electrónicos, debe ser posible presentar solicitudes también por esta vía. El ejercicio de los derechos es gratuito, excepto cuando se trate de solicitudes infundadas o excesivas.

Derecho de Acceso

Con la normativa anterior, los responsables debían facilitar los datos básicos del afectado, pero no copias ni documentos. Bajo el RGPD, se reconoce expresamente el derecho a obtener una copia de los datos personales objeto de tratamiento.

Derecho al Olvido

No se considera un derecho independiente de los derechos ARCO (acceso, rectificación, cancelación y oposición), sino una consecuencia del derecho al borrado de los datos personales. En el entorno online, se manifiesta como la posibilidad de cancelar u oponerse al tratamiento de determinados datos, siguiendo la jurisprudencia del Tribunal de Justicia de la UE en el caso Google Spain.

Limitación de Tratamiento y Portabilidad de los Datos

La limitación de tratamiento supone que, a petición del interesado, no se aplican a sus datos personales las operaciones de tratamiento que corresponderían. Existen supuestos específicos en los que se puede solicitar, recogidos en la guía de la Agencia Española de Protección de Datos.

El derecho a la portabilidad es una evolución del derecho de acceso: el interesado puede recibir una copia de sus datos en un formato estructurado, de uso común y lectura mecánica, facilitando la migración de sus datos entre distintos servicios.

Obligaciones Específicas para los Encargados

El RGPD establece obligaciones dirigidas específicamente a los encargados del tratamiento. Aunque la responsabilidad última recae sobre el responsable, los encargados tienen sus propias obligaciones supervisables de forma independiente por las autoridades de protección de datos. Por ejemplo:

• Mantener un registro de actividades de tratamiento.
• Determinar las medidas de seguridad aplicables a los tratamientos que realizan.
• Designar un Delegado de Protección de Datos en los casos que así lo requiera el RGPD.

Los encargados pueden adherirse a códigos de conducta o certificarse dentro de los esquemas de certificación contemplados por el RGPD, reforzando la transparencia y el cumplimiento de la normativa.