El nuevo Reglamento General de Protección de Datos de la Unión Europea, vigente desde mayo de 2018, actualizó y reformuló la normativa en la materia. En efecto, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, deroga la anterior Directiva 95/46/CE que regía al respecto.
El texto legal que nos ocupa introduce algunas novedades respecto a su predecesor. Esto con la finalidad de adaptarse a las realidades que impone el desarrollo de las Tecnologías de la Información a día de hoy. En este artículo, haremos un resumen de tales aspectos diferenciales y responderemos brevemente las dudas y preguntas más frecuentes sobre el RGPD vigente.
¿Qué cambia con el nuevo Reglamento General de Protección de Datos?
En concreto, los principales cambios que introduce el nuevo Reglamento General de Protección de Datos son:
Tres nuevos principios aplicables al tratamiento
- El principio de transparencia, especificado en el artículo 5.1.a, que exige el tratamiento lícito, leal y transparente de los datos en relación con el interesado. Al establecer este fundamento, se facilitan las relaciones entre el responsable de los datos y el interesado. Pero también se agiliza la interacción entre el responsable de los datos y la autoridad de control; ya que ya no es obligatoria la notificación y el registro de los ficheros que contienen datos personales ante el mencionado ente. Cabe recordar que, en España, esta autoridad es ejercida por la Agencia Española de Protección de Datos (AEPD).
- Limitación de la finalidad. De acuerdo con el artículo 5.1.b, los datos serán “recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines”. Estos objetivos del tratamiento de datos deben expresarse con claridad en el momento de obtenerse.
- Minimización de datos. Los datos que se soliciten al usuario deben ser “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados” (artículo 5.1.c).
Más derechos en el nuevo Reglamento General de Protección de Datos
Ciertamente, la Ley Orgánica de Protección de Datos española contempla los derechos ARCO: Acceso, Rectificación, Cancelación y Oposición. Pero el nuevo RGPD agrega otros cuatro muy interesantes:
Transparencia de la información
El artículo 12 obliga al responsable del tratamiento de los datos a proporcionar toda la información relacionada al tratamiento en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, incluso, si procede, por medios electrónicos.
Derecho de supresión o “derecho al olvido”
El usuario podrá solicitar y obtener “sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan” (Artículo 17). Además, el responsable debe suprimir sin demora los datos personales cuando:
- Los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o sean tratados de otra forma.
- El interesado retire el consentimiento en que se basa el tratamiento de datos.
- Los datos personales hayan sido tratados ilícitamente.
Limitación del tratamiento
Según el artículo 18, el usuario “tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos”. Entre otras circunstancias planteadas en esta disposición, tal limitación procederá cuando:
- “el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos” (artículo 18.1.a)
- “el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso” (artículo 18.1.b)
- “el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado” (artículo 18.1.c).
Derecho a la portabilidad
Por otra parte, el nuevo Reglamento General de Protección de Datos establece la viabilidad de transmitir los datos de un responsable a otro. De esta manera, el usuario tendrá derecho a solicitar el traslado directo de sus datos personales directamente cuando sea técnicamente posible. Por ejemplo, en el caso más común, cuando el interesado desee cambiarse de compañía de telecomunicaciones o de distribuidora de electricidad. Esta transferencia ha de resultar ágil y sencilla para el cliente.
Condiciones para el consentimiento y seguridad de los datos
Sin duda, un tema que aborda de manera muy clara el actual RGPD es el de las condiciones para el consentimiento del tratamiento de datos. En el artículo 7, se especifica que el responsable del tratamiento debe demostrar que el usuario aprobó el mismo. Incluso, la solicitud debe presentarse “de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo”. Previamente, establece la definición de “consentimiento del interesado” como: “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen (artículo 4.11)
Asimismo, el instrumento legal que analizamos introduce disposiciones relevantes en materia de seguridad como:
- El principio de “seguridad proactiva” para garantizar la seguridad de los datos personales gestionados (artículo 5.2).
- La protección de datos desde el diseño y por defecto, teniendo en cuenta “el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento” (artículo 25).
- La obligación de efectuar una evaluación de impacto (Privacy Impact Assessment) para las empresas cuyo tratamiento de datos puedan significar un alto riesgo para los derechos y libertades de los usuarios (artículo 35).
- El deber del responsable del tratamiento de notificar a la autoridad de control, sin dilación indebida, cualquier violación de la seguridad de los datos personales de la que tenga constancia (artículo 33). Por igual, deberá notificarlo a los usuarios afectados (artículo 34).
El DPO en el nuevo Reglamento General de Protección de Datos
El instrumento legal que revisamos contempla el nombramiento de un Delegado de Protección de Datos (DPO) obligatorio solo para las empresas públicas, o aquellas que realicen un tratamiento de datos a gran escala o las que gestionen datos particularmente sensibles o vinculados a delitos y condenas. En esta misma línea, el DPO tendrá las funciones de asesorar e informar al responsable de la gestión de datos y sus empleados sobre las obligaciones impuestas por el Reglamento. También, el DPO supervisará el cumplimiento del mismo y cooperará con la autoridad de control, entre otras funciones.
Dudas y preguntas frecuentes sobre el nuevo Reglamento General de Protección de Datos
¿Cuál es el objeto del RGPD?
El RGPD tiene por objeto establecer las normas relativas a la protección de las personas físicas respecto al tratamiento de los datos personales. De igual manera, determina las disposiciones aplicables a la libre circulación de tales datos entre los Estados de la UE (artículo 1).
¿Qué datos se consideran de carácter personal?
Un dato personal es toda aquella información alfabética, numérica, gráfica, fotográfica, acústica o de otra índole que refiera a personas físicas identificadas o identificables. En concreto, son datos personales:
- El nombre, apellidos y dirección de una persona.
- Su DNI.
- Números de teléfono personales, sean móviles o fijos.
- Correo electrónico.
- Dirección IP.
- Fotografías y vídeos donde aparezca una o varias personas identificables.
- Datos incluidos en solicitudes de residencia, en registros de trabajo, Seguridad Social, etc.
Datos de carácter personal vinculados a la salud
En esta categoría se incluye la información relativa al estado de salud en el pasado, presente o futuro, sea física o mental, de una persona. No obstante, el grado de discapacidad que sufra un individuo no se considera como dato de carácter especial.
Datos biométricos
Son datos que están teniendo creciente relevancia gracias al desarrollo tecnológico en el área del reconocimiento de personas mediante características físicas, fisiológicas o conductuales específicas. Estos recursos permiten la identificación de un individuo gracias a imágenes faciales, el iris del ojo o las huellas dactilares.
¿Cuándo es lícito el tratamiento según el nuevo Reglamento General de Protección de Datos?
En cuanto a la legalidad de un tratamiento de datos, el artículo 6.1 y todos sus literales son muy claros:
«El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones».
¿Necesito consentimiento del usuario para tratar datos con el objetivo de ejecutar un contrato?
Del mismo artículo recién citado, podemos interpretar que, para este propósito, no es necesario un nuevo consentimiento. Precisamente porque el mismo ya se dio para elaborar el contrato. Pero también podemos apoyarnos en el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. En el artículo 10.3.b de este último se establece que:
Los datos de carácter personal podrán tratarse sin necesidad del consentimiento del interesado cuando: «… Se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento…»
¿Es posible aplicar un tratamiento posterior de los datos para un propósito distinto al original?
Para responder esta pregunta debemos consultar el artículo 5.1.b. Allí encontramos que los datos personales serán…
«… recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»)».
Por tanto, podemos interpretar que sí es posible realizar un tratamiento ulterior con un fin distinto, siempre y cuando este sea compatible con el propósito original. Con la finalidad de determinar la compatibilidad de la gestión posterior, debemos tener en cuenta lo especificado en los literales del artículo 6.4, que recomiendan considerar:
«a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;
b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;
c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;
d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;
e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización».
¿Tienes más preguntas sobre el nuevo Reglamento General de Protección de Datos?
En Legal Veritas respondemos a todas tus dudas sobre el nuevo Reglamento General de Protección de Datos de la UE. Somos asesores legales expertos en protección de datos para empresas. De manera que podemos ayudarte a adaptar tu organización para que cumpla con todas las normativas en la materia, tanto europeas como españolas. Para este propósito, contamos con profesionales cualificados y herramientas tecnológicas aplicadas.
Contáctanos ahora mismo.
Deja una respuesta