Nuevo Reglamento Europeo de Protección de datos. Cuenta atrás para su aplicación en mayo de 2018.

Ante la futura aplicación del Reglamento general de protección de datos de la UE para 2018, el Grupo de Autoridades europeas de protección de datos (GT 29), ha publicado directrices y respuestas a posibles dudas en relación con la portabilidad de datos, la figura de delegado de protección de datos y criterios de identificación de la autoridad de control.

Junto con el desarrollo de lo establecido por el GT 29 traslado en esta entrada del blog algunas cuestiones de necesario conocimiento para estas alturas del año que viene en relación a la protección de datos.

I.- ¿Qué es el Grupo de Trabajo del Artículo 29?

II.- Reglamento general de protección de datos de la UE. Análisis y datos sobre su aplicación

III.- ¿Qué pasa con la Ley y el Reglamento de protección de datos nacional?

IV.- ¿Estoy preparado para la llegada del nuevo Reglamento General de Protección de Datos Personales Europeo? Principales novedades

V.- Portabilidad de datos, delegados de protección de datos y criterios de identificación de la «autoridad líder»

• Derecho a la portabilidad de datos
• Delegados de protección de datos
• Autoridad de control principal

VI.- Nuevo régimen sancionador

 

I.- ¿Qué es el Grupo de Trabajo del Artículo 29?

El Grupo de Trabajo del Artículo 29 (GT 29), es un órgano consultivo independiente integrado por las Autoridades de Protección de Datos de todos los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea creado por la Directiva 95/46/CE. A nivel estatal, la Agencia Española de Protección de Datos forma parte del mismo desde su inicio, en febrero de 1997.

Entre sus funciones se encuentran las de estudiar toda cuestión relativa a la aplicación de las disposiciones nacionales tomadas para la aplicación de la Directiva, emitir dictámenes sobre el nivel de protección existente dentro de la Comunidad y en países terceros, asesorar a la Comisión sobre cualquier proyecto de modificación de la Directiva, y formular recomendaciones sobre cualquier asunto relacionado con la protección de datos en la Unión Europea.

II.- Reglamento general de protección de datos de la UE. Análisis y datos sobre su aplicación

Como se estudia en nuestro “Análisis del Reglamento general de protección de datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016)”, el Reglamento UE 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (vigente desde el 24/05/2016), será aplicable a partir del 25 de mayo de 2018 afectando al conjunto de derechos a través de los cuales la actual Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, garantiza a las personas el poder de control sobre sus datos personales.

• Reglamento (UE) 2016/679 de 27 de Abr DOUE (Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y derogación de la Directiva 95/46/CE (Reglamento general de protección de datos))

La norma se ha publicado en el DOUE el 4 de mayo de 2016. Es aplicable desde el 25 de mayo de 2016; pero su efectividad se producirá el 25 de mayo de 2018 [fecha en la que será de obligado cumplimiento en todos los Estados Miembros]. Su entrada en vigor supondrá la derogación de la Directiva 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

III.- ¿Qué pasa con la Ley y el Reglamento de protección de datos nacional?

Pese a que en España existe la LOPD y su Reglamento de desarrollo, el reglamento europeo complementará, y en caso de contradicción sustituirá, la normativa nacional.

IV.- ¿Estoy preparado para la llegada del nuevo Reglamento General de Protección de Datos Personales Europeo? Principales novedades

En función del impacto que tendrá en las empresas la entrada en vigor del nuevo Reglamento Europeo, el test a realizar para verificar si estamos preparados se supedita a conocer las principales novedades y nuevas obligaciones:

• A) Ampliaciones de las obligaciones respecto al deber de información a los usuarios y clientes: (arts. 13-15)
• B) Resultará obligatorio el consentimiento explícito [bajo declaración o acción afirmativa] del usuario (arts. 7-11, 22)
• C) Aparecen nuevas figuras: Delegados de protección de datos y «autoridad líder» y se regulan otras ya existentes como la portabilidad de datos.

• D) Se exigirán evaluaciones de impacto antes de poder iniciar el tratamiento de los datos personales sensibles (arts. 35-36).
• E) Derecho de supresión («el derecho al olvido»). El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias establecidas en el art. 17
• F) Cuando los responsables de los datos observen alguna violación de la seguridad de los datos personales de un interesado deberán comunicarlo a la Autoridad correspondiente y al propio interesado lo antes posible. . Este punto, sin duda, traerá cola, el Reglamento manifiesta la necesidad de autodenuncia en caso de haber cometido un error en el tratamiento de datos (arts. 32-34):

"Artículo 33. Notificación de una violación de la seguridad de los datos personales a la autoridad de control

1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

3. La notificación contemplada en el apartado 1 deberá, como mínimo:

• a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
• b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
• c) describir las posibles consecuencias de la violación de la seguridad de los datos personales;
• d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo."

V.- Portabilidad de datos, delegados de protección de datos y criterios de identificación de la «autoridad líder»

Las citadas directrices publicadas por el GT 29 aclaran, en relación con la llegada del nuevo Reglamento general de protección de datos de la UE, tres aspectos regulados en la nueva norma:

• Derecho a la portabilidad de datos

Partiendo de la regulación del artículo 20 -Derecho a la portabilidad de los datos- del RGPD, señalando que “el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado”

El GT 29 explica que este derecho se desglosa en las siguientes posibilidades para el afectado:

- recibir los datos personales relativos a su persona que está tratando el responsable y a almacenarlos en un dispositivo propio, sin comunicarlos a otro responsable del tratamiento. En este sentido, el GT 29 pone como ejemplo de aplicación práctica de este derecho el supuesto de un usuario que quiere obtener una lista de contactos de su webmail para preparar una lista de bodas, o el de un usuario de un servicio de música en streaming que quiere acceder a información sobre las canciones que más veces ha escuchado para comprarlas.

- solicitar al responsable del tratamiento que comunique sus datos a otro responsable. De esta forma, se permitirá la transmisión y reutilización de datos entre proveedores de servicios independientes con los que un mismo usuario mantiene una relación.

En esta guía se aclara igualmente que el derecho a la portabilidad no implica que los datos sean eliminados por el responsable del tratamiento ante quien se ejerce y que, en todo caso, éste deberá garantizar la seguridad de los datos personal en el proceso de transmisión.

• Delegados de protección de datos

El art. 37 del RGPD -Designación del delegado de protección de datos- obliga al responsable y el encargado del tratamiento a designar un delegado de protección de datos siempre que:

• a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
• b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
• c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

En base a la posible duda que generan ciertas expresiones en la regulación de la figura del DPO (abreviatura de las siglas en ingles de Data Protection Officer), se aclaran los conceptos “observación habitual y sistemática” y “tratamientos a gran escala”:

- Se considera tratamientos a gran escala por ejemplo:

• Tratamientos de datos relacionados con los pacientes de un hospital.
• Tratamiento de los datos de viaje de los usuarios del sistema de transporte público de una ciudad.
• Tratamiento de datos de geolocalización en tiempo real de clientes para fines estadísticos.
• Tratamiento de datos de clientes por una compañía de seguros o un banco.
• Tratamiento de datos para la realización de actividades de publicidad comportamental online.
• etc

Igualmente, son ejemplos de “observación habitual y sistemática”:

• La gestión de una red de telecomunicaciones o la prestación de estos servicios
• Actividades con la finalidad de realizar análisis de riesgos para prevención de blanqueo de capitales, prevención de fraude, análisis de riesgo crediticio, etc.
• Tratamientos derivados de localización de usuarios a través de apps.
• Programas de fidelización.
• Tratamientos relacionados con publicidad conductual.
• Tratamientos de datos de salud a través de dispositivos portátiles.
• Tratamientos de datos datos derivados del uso de dispositivos conectados
• etc.

Sobre esta figura la guía también propone ejemplos de incompatibilidades de ciertos cargos con la figura de DPO, su responsabilidad y la falta de certificación o titulación específica para ejercer las funciones (aunque quien ocupe este cargo deberá acreditar conocimientos específicos en la normativa nacional y europea de protección de datos).

• Autoridad de control principal

Con base a la Sección 2 del Reglamento -Competencia, funciones y poderes- La guía propone ejemplos de tratamientos transfronterizos, y aclara los criterios para determinar qué autoridad debe ocupar el puesto de autoridad de control principal en diferentes supuestos.

VI.- Nuevo régimen sancionador

El art. 83, del Reglamento, relativo a las condiciones generales para la imposición de multas administrativas, establece un régimen sancionador mucho más severo que el actual, sobre todo para aquellas empresas que tenga mayor facturación, citándose multas administrativas de 10 millones de euros, 20 millones de euros o de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

Del mismo modo, el art. 82, trata el derecho a indemnización y responsabilidad instaurando que "Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente  Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos"