Spotify, Uber, Amazon, Netflix… En las últimas semanas es probable que se hayan acumulado en su buzón de correo electrónico una lista innumerable de e-mails de asunto «Actualizamos nuestras políticas de privacidad» y análogos. La razón que hay detrás de esta avalancha a la que hemos estado sometidos no es otra que la aplicación obligatoria desde el 25 de mayo del nuevo Reglamento General de Protección de Datos (GDPR), Reglamento de la UE 2016/679 que entró en vigor en el año 2016.

Esta normativa se aplica a las empresas europeas, autónomos y administraciones públicas en la UE pero también a todas aquellas empresas ubicadas fuera de la unión pero que ofrezcan productos o presten servicios a usuarios residentes en Estados miembros o reciban datos personales desde estos.

Pese a que cada Estado miembro podrá seguir regulando la materia (en España la nueva LOPD se encuentra en tramitación parlamentaria) la aplicación directa del Reglamento supone que estas leyes internas no podrán ser contrarias a lo establecido en la GDPR sino únicamente matizar algunos de sus aspectos como puede ser el establecimiento de la edad a partir de la cual se considera menor al usuario (Artículo 8) y que nunca deberá ser inferior a los 13 años.

A continuación repasaremos las 5 principales novedades, de importante trascendencia tanto para usuarios como empresas dados los cambios que se hace necesario implementar si se quieren evitar las cuantiosas sanciones que se prevén y teniendo en cuenta, que las normas anteriores en la materia databan de 1995 por lo que era incuestionable la necesidad de una revisión de la mismas para adaptarlas al contexto tecnológico, legal y económico de hoy en día.

1. Principios relativos al tratamiento (art. 5)

Como novedad frente a la LOPD se introducen nuevos e interesantes principios referentes al tratamiento de datos personales.

En primer lugar los datos deberán ser «tratados de manera lícita (para lo que el artículo 6 exige unas condiciones como puede ser el consentimiento o el interés público), leal y transparente en relación con el interesado” lo que obliga a llevar un Registro de Actividades de Tratamiento (art. 60) que contenga entre otras cosas los datos identificativos del responsable del tratamiento y del delegado de protección de datos (nueva figura que trataremos más adelante) así como los fines del tratamiento.

Además “Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines», con ello se pretende proteger a los usuarios del uso de sus datos para fines distintos a aquellos para los cuales el consentimiento se hubiera prestado en el momento de la recogida y se encuentren contemplados en el Registro de Actividades de Tratamiento.

Por último los datos recogidos deberán limitarse a lo estrictamente necesario en relación con los fines para los que son tratados.

2. Acerca del consentimiento (art. 7 y ss.)

Cuando el tratamiento de los datos se base en el consentimiento del usuario este consentimiento deberá ser libre, específico, informado e inequívoco. Esto significa que el silencio, las casillas ya marcadas o la inacción no constituirán prueba de consentimiento como se recoge en el considerando 32, exigiendo como prueba de su carácter inequívoco una declaración del interesado verbal o por escrito (inclusive medios electrónicos) o una manifestación de voluntad en forma de acción positiva que refleje dicho consentimiento. En todo caso el consentimiento será tan fácil de retirar como prestar lo que se podrá hacer en cualquier momento.

Para clientes actuales los nuevos requisitos de consentimiento suponen que si el consentimiento con el que se contaba no estaba claramente identificado o se había prestado tácitamente o por omisión será necesario un nuevo consentimiento que cumpla con las nuevas exigencias (lo que ha llevado a que hayamos sido contactados incesantemente por empresas a las que ya habíamos facilitado nuestros datos en el pasado).

Además, se producen importantes novedades en relación a los menores. En principio se considerarán como usuarios menores a aquellos de edad inferior a los 16 años (las leyes nacionales pueden bajar este umbral hasta los 13 años), y será necesario contar con el consentimiento de sus padres o tutores legales para poder ofrecerles servicios de la sociedad de la información. Hasta ahora en España la LOPD fijaba que únicamente era necesario requerir el consentimiento de los padres/tutores para los menores de 14 años.

3. Nuevos derechos de los usuarios

Si bien la LOPD del año 99 ya contemplaba unos importantes derechos de protección de los usuarios tradicionalmente recogidos como derechos ARCO: acceso, rectificación, cancelación y oposición (art. 5), que se mantienen, con el nuevo reglamento comunitario se introducen 4 nuevos:

a. Transparencia (art. 12): el responsable del tratamiento deberá tomar las medidas que sean necesarias para que se comunique de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo la información que ataña a los extremos esenciales del tratamiento como los fines del mismo, el tiempo por el cual se conservarán los datos personales o los destinatarios de los datos.

b. Derecho de supresión o «Derecho al Olvido» (art. 17): El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan cuando concurran principalmente las siguientes circunstancias:

i. Los datos ya no sean necesarios.

ii. Se revoque el consentimiento prestado a la utilización.

iii. Se oponga al tratamiento siempre que no prevalezcan motivos para que este se mantenga.

iv. Los datos hayan sido tratados ilícitamente.

Este derecho además conlleva una obligación de información por parte de quienes recibieron los datos de informar a los terceros a quienes dichos datos se hayan difundido de la obligación de suprimir cualquier referencia o copia de los mismos. En definitiva se trata de eliminar cualquier rastro de la información personal atajando el problema desde la raíz a partir de la cual dicha información fue difundida.

No obstante, este derecho podrá ser objeto de limitación por razones de interés público, por el cumplimiento de obligaciones legales impuestas por el derecho de la unión o de los Estados miembros, para ejercer el derecho a la libertad de expresión e información, por fines científicos, históricos o de archivo o por lo relativo a reclamaciones.

c. Derecho a la limitación del tratamiento (art. 18): se reconoce al usuario el derecho a solicitar y obtener una limitación del tratamiento al que están siendo sometidos los datos ante la inexactitud de los mismos, ilicitud del tratamiento, cuando el interesado los necesite para formular reclamaciones o cuando se oponga al tratamiento y hasta que se dilucide si hay motivos legítimos para proseguir con el tratamiento.

Una vez obtenida la limitación del tratamiento el Responsable del tratamiento se limitará a conservar los datos y sólo podrá utilizarlos, siempre con el previo consentimiento del usuario, en relación con posibles reclamaciones, con miras a la protección de los derechos (en materia de protección de datos) de otra persona física o jurídica o por motivos de interés público.

d. Derecho a la portabilidad (art. 20): con el nuevo GDPR y gracias a las nuevas tecnologías se reconoce a partir de ahora la posibilidad de que los datos personales pasen de un Responsable a otro sin pasar por el usuario. Esta posibilidad, que se reconoce siempre que sea técnicamente posible, es extraordinariamente útil en determinadas situaciones como puede ser el cambio de compañía de telecomunicaciones o cualquier otro proveedor de servicio. La transmisión deberá realizarse en un formato estructurado, de uso común y lectura mecánica para facilitar así el proceso.

4. La Figura del Delegado de Protección de Datos (Sección 4)

Esta nueva figura deberá ser nombrada obligatoriamente en autoridades y organismos públicos, cuando se desarrollen de manera habitual operaciones de tratamiento que exijan una observación habitual y sistemática de interesados a gran escala o el tratamiento a gran escala de datos sensibles (p. ej. relativos a infracciones y condenas penales).

Este delegado puede estar vinculado al Responsable del tratamiento mediante una relación laboral o un contrato de servicios (aunque siempre deberá preservar su independencia, no pudiendo recibir instrucciones del Responsable o ser sancionado o destituido por desempeñar sus funciones) y deberá ser nombrado atendiendo a sus cualificaciones, conocimiento del Derecho y en especial la práctica en materia de protección de datos.

Sus funciones principales son:

1. Informar y asesorar al encargado o responsable del tratamiento y a los empleados de las obligaciones que para ellos se deriven del Reglamento y demás disposiciones, comunitarias o de derecho interno, de protección de datos.
2. Supervisión del cumplimiento de las obligaciones en materia de protección de datos.
3. Concienciación y formación del personal.
4. Desarrollo de auditorías.
5. Asesorar y supervisar acerca de la evaluación de impacto relativa a la protección de datos.
6. Cooperar con la autoridad de control.
7. Servir de enlace con la autoridad de control.

Respecto de las autoridades de control, éstas seguirán siendo las nombradas por los estados miembros, estableciéndose un sistema de ventanilla única por el cual se podrá realizar una reclamación dentro de cualquiera de los estados miembros acudiendo a la autoridad de su país. Así por ejemplo, una empresa española con establecimientos en otros países de la UE, sólo se relacionará con la autoridad de protección de datos española o de donde se encuentre su matriz. De igual forma, los usuarios que quieran formular una reclamación podrán dirigirse directamente a la autoridad de su país (en España la Agencia Española de Protección de Datos) y de tratarse de asuntos transfronterizos se activarán mecanismos de cooperación entre las distintas autoridades intervinientes.

5. Sanciones más elevadas

Aunque la adaptación al nuevo Reglamento se haya producido a última hora (pese a que se han tenido dos años para ello) la importancia de cumplir con las demandas que introduce es máxima pues las consecuencias del incumplimiento son muy cuantiosas económicamente.

Además del derecho a obtener del responsable o encargado del tratamiento una indemnización por daños y perjuicios en el caso de ser perjudicado, se han incrementando las cuantías de las sanciones administrativas por las infracciones del Reglamento. Si tradicionalmente iban de los 900 a los 600.000 euros en función de la naturaleza y gravedad de la infracción,  ahora pueden alcanzar los 20.000.000 € o, en el caso de que sea una empresa la infractora, el 4% del volumen de negocio (desaparece la sanción mínima).

Conclusiones

Claramente estamos ante un paso adelante en adaptar la regulación a los incesantes cambios tecnológicos y aún es pronto para saber si esta regulación puede ayudar a evitar los escándalos acontecidos recientemente por ejemplo con Facebook. A juicio del autor no obstante, se echa de menos un enfoque más preventivo, que prepare para evitar problemas en el futuro y no se limite a apagar incendios ya originados.

También queda por ver como se adaptan organizativamente las partes implicadas para cumplir con las prescripciones de esta normativa que obligará a asumir nuevos costes (como el del Delegado de Protección de Datos) y una actitud más responsable en el tratamiento.

Sin duda alguna las elevadas sanciones servirán como un elemento disuasorio de malas praxis y su establecimiento en términos de volumen de negocio las harán efectivas tanto para empresas pequeñas como gigantes de la información (para quienes la sanción máxima de 600.000 € que se establecía antes no era más que peccata minuta).

Para terminar, se hace necesario recordar que el esfuerzo para proteger nuestros datos personales no debe acabar en los responsables del tratamiento sino que también reside en los usuarios, siendo necesario concienciar al ciudadano de la importancia que tienen los datos en la sociedad actual y de cómo se debe actuar con cierta cautela a la hora de «colgarlos» en internet y es que a veces se nos olvida que nuestra actuación en el mundo on-line no es inocua para nuestra vida off-line.

Categorías:Protección de datos/ Derecho de las TICs

Etiquetas:featured