Las claves del nuevo Reglamento Europeo de Protección de Datos, según la AEPD

La Agencia Española de Protección de Datos ha lanzado un comunicado para explicar los puntos claves del nuevo Reglamento Europeo de Protección de Datos cuya aplicación será obligatoria a partir del 25 de mayo de 2018. Hasta entonces seguirán vigentes en cada estado miembro sus legislaciones nacionales, como la LOPD en España y la Directiva europea 95/46.

En Cumple Protección de Datos nos hacemos eco de esta publicación de la AEPD y destacamos los puntos más importantes con el fin de clarificar los cambios que supondrá el nuevo Reglamento.

Rango de aplicación

Se amplía el rango de aplicación de la Ley, hasta ahora afectaba a empresas, organizaciones, negocios con sede en algún país de la UE que realizaba tratamiento de datos personales. Ahora se aplicará a todas las empresas que ofrezcan sus servicios dentro de territorio europeo e incluyan dicho tratamiento, aunque no tengan sede en Europa. Estas empresas deben nombrar un representante en la UE que actúe de intermediario entre las autoridades de protección de datos y los ciudadanos, y ofrezca a éstos toda la información necesaria para que el tratamiento de sus datos cumpla los criterios legales.

Con esta ampliación se ofrece una mayor protección a los ciudadanos que hasta ahora estaban indefensos ante empresas de fuera de Europa que utilizaban sus datos y se regían por las normas de su país de origen, en algunos casos más permisivas. Ahora empresas como Google, Microsoft, Facebook, están obligadas a cumplir las normas europeas.

Mayor control de datos

Con el nuevo Reglamento se da un mayor control de los datos personales a los ciudadanos. Las empresas deben aplicar los elementos necesarios para que así sea. De este modo están obligadas a asegurar la protección de datos desde el diseño, por defecto, en todos aquellos servicios y aplicaciones que ofrezcan. Deben tomar medidas de seguridad para evitar filtraciones, mantener un registro del tratamiento de datos, realizar evaluaciones de impacto, nombrar un delegado en protección de datos, notificar los fallos y hackeos, establecer unos códigos de conducta y un esquema de certificaciones.

Entre los derechos que reconoce el nuevo Reglamento a los ciudadanos se encuentra el derecho al olvido y el derecho a la portabilidad de sus datos. Los ciudadanos podrán pedir la retirada de sus datos en Internet cuando, entre otros aspectos, ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita, sean informaciones obsoletas, incompletas, falsas o irrelevantes y no sean de interés público.

En caso de tratamiento de datos personales de menores, la Ley establece la obligatoriedad de contar con el consentimiento paterno cuando sean menores de 16 años, aunque deja la posibilidad de que cada estado miembro establezca una edad límite. En España se sitúa en 14 años.

Nuevo Reglamento Europeo de Protección de Datos

Obligaciones para las empresas

Como señala la AEPD en su comunicación, todas las organizaciones que tratan datos deben realizar un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo.

Las empresas y organizaciones también deben modificar la forma en la que solicitan el consentimiento para tratar los datos personales. El nuevo Reglamento exige que este consentimiento sea informado, específico e inequívoco. No puede deducirse del silencio o de la inacción de los ciudadanos. “Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría”, concluye.

En lo que respecta al apartado de consentimiento informado, la información debe proporcionarse de manera clara, concisa y entendible. Deberá contener aspectos como la base legal para el tratamiento de los datos, los períodos de retención de los mismos y explicar que los interesados pueden dirigir sus reclamaciones a las autoridades de protección de datos, en caso de corroborar que se hace un mal uso de los datos.

Aunque las empresas no están obligadas a realizar estas acciones hasta mayo de 2018, desde la AEPD les animan a ir preparándose para su implementación. Trabajando en cómo realizar los análisis de riesgo, el registro de tratamientos de datos, las evaluaciones de impacto o cualquiera otra de las medidas previstas. Esto permitiría corregir errores para el momento en que el Reglamento sea de aplicación.

La ventanilla única

Con el fin de reducir la trabas burocráticas, todos los trámites que afecten a la protección de datos se podrán dirigir a una ventanilla única que resolverá los casos a nivel europeo. De este modo los ciudadanos no tendrán que relacionarse con varias autoridades o con autoridades distintas de la del Estado donde residan. Siempre pueden plantear sus reclamaciones o denuncias ante su propia autoridad nacional (en el caso español, la Agencia Española de Protección de Datos). La gestión será realizada por esa autoridad, que será también la responsable de informar al interesado del resultado final de su reclamación o denuncia.

Esta entrada fue publicada en AEPD, Protección de Datos y etiquetada , , , , , , , , . Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *