¿Cómo adaptarse al nuevo Reglamento de Protección de Datos?

¿Cómo adaptarse al nuevo Reglamento de Protección de Datos?

Aunque  el nuevo Reglamento de Datos entró en vigor el 25 de mayo de 2.016, será de aplicación a partir del 25 de mayo del próximo año. Las exigencias para su organización en la Compañía son elevadas y significativas. Aquí describimos las más relevantes. La implementación de las exigencias no es sólo una cuestión de contratar asesores: afecta a la infraestructura de su Compañía. En España, la adaptación de nuestro ordenamiento jurídico a la nueva regulación europea, exige la elaboración de una nueva Ley Orgánica que sustituya la regulación actual. En este sentido, el Ministerio de Justicia, ya ha presentado la primera versión del Anteproyecto de Ley Orgánica de Protección de Datos.

A continuación, vamos a enumerar las medidas específicas que debe implementar una Compañía para adaptarse al nuevo Reglamento de Protección de Datos (y próximamente a la nueva Ley Orgánica española en la materia).

Medidas Específicas

1. Análisis de riesgo

   Todos los Responsables tienen la obligación de realizar una valoración previa del riesgo del tratamiento de datos, y en consecuencia adoptar las medidas exigibles para su protección. En este sentido, la Agencia Española de Protección de Datos (AEPD), está configurando Guías para ayudar a adaptar a las PYMES a la nueva normativa europea.

2. El Registro de actividades de tratamiento (art. 30).

   El Reglamento, elimina la obligación de registrar los ficheros, sin embargo “Cada responsable y, en su caso, su representante debe llevar un registro de las actividades de tratamiento, efectuadas bajo su responsabilidad.” Dicho registro deberá contener unos campos mínimos recogidos en la normativa. Quedan exentas, las empresas que empleen a menos de 250 trabajadores, salvo que el tratamiento afecte a categorías especiales de datos.

3. La protección de datos “desde el diseño” y “por defecto” (art. 25).

   La protección de datos desde el diseño; implica que el Responsable debe adoptar las medidas técnicas y organizativas apropiadas atendiendo a su “contexto” para la protección de datos. Mientras que la protección de datos por defecto, implica que esas medidas preventivas y organizativas aplicadas por el Responsable, deben garantizar que por defecto, solo sean objeto de tratamiento los datos necesarios para cada uno de los fines específicos del tratamiento.

4. Seguridad de los datos personales (art. 32). No se establecen categorías de datos ni medidas de seguridad concretas. El Responsable y el Encargado tienen que aplicar medidas técnicas y organizativas apropiadas atendiendo al nivel de seguridad adecuado al riesgo, entre los que cabe destacar:

• – el cifrado de datos personales ó la capacidad de garantizar la confidencialidad.
• – en caso de incidente físico ó técnico, la capacidad de restaurar la disponibilidad y
• – el acceso a los datos personales de forma rápida, a través de un proceso de verificación.

En este ámbito el Anteproyecto de Ley, regula de forma expresa el derecho de los afectados. No obstante, no ha previsto el derecho a no ser objeto de decisiones basadas en el tratamiento automatizado.

5. Notificación de una violación de seguridad de los datos (art. 33). El Reglamento define, lo que denomina “quiebras de seguridad” e incluye de forma amplia “destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”. La notificación a la Autoridad debe producirse dentro de las 72 horas siguientes desde que se tenga constancia de ella.

6. Evaluación de impacto sobre la protección de datos (art. 35). Cuando el tratamiento de datos conlleve un alto riego para los derechos y libertades de los interesados, los responsables de datos deben de realizar una “Evaluación de impacto sobre la Protección de Datos”, con carácter previo a la puesta en marcha del tratamiento.

7. “Delegado de Protección de Datos” (Art. 37). Será obligatorio, para las Compañías en que el tratamiento requiera una observación habitual y sistemática de interesados a gran escal. O que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles. El delegado de protección de datos puede ser bien personal interno ó externo. La prestación de sus servicios conlleva principalmente un requisito: deberá ser publicado y comunicado a la autoridad de control. En el Anteproyecto de Ley, la figura aparece definida siguiendo la línea del Reglamento europeo, sin embargo implica que cualquier empresa que trate información deberá contar con esta figura.

8. Por último hay que destacar, la modificación en la gestión de los derechos de acceso, rectificación, cancelación y oposición (los conocidos derechos ARCO). Se mantiene la gratuidad, pero si la solicitud es “manifiestamente infundada o excesiva” el Responsable puede negarse a responder. Dentro de las novedades más relevantes debemos destacar:

• Que el Responsable deberá facilitar una copia de los datos personales objeto del tratamiento; y
• La regulación expresa del conocido derecho al olvido. En este sentido, el Anteproyecto de Ley, concede a los herederos la posibilidad de poder acceder, rectificar, o suprimir los datos de los fallecidos. Incluso, la posibilidad de que el titular de los datos, antes de su fallecimiento, indique el tratamiento de sus datos personales.

En la primera versión del Anteproyecto de la normativa española, se introducen novedades significativas. Se excluye el “consentimiento tácito”, debiendo ser expreso y afirmativo. La edad para el consentimiento se reduce a los trece años, adaptando nuestro sistema al europeo. En materia de infracciones y sanciones, aumenta considerablemente el número de infracciones tipificadas, en relación con la actual normativa.  Y entre otras medidas, regula el sistema de información crediticia y la videovigilancia en el ámbito laboral.

Conclusión

En conclusión, la nueva normativa europea y la futura Ley de Protección de Datos española, exigen a las Empresas una “Responsabilidad Activa”. Tienen la obligación de adoptar medidas que aseguren las exigencias de esta materia. En todo caso, supone un mayor compromiso de las Compañías, que principalmente implica cambiar el sistema de la protección de datos, en virtud del principio de transferencia.