Este post es continuación del de hace 15 días queremos completar la información general acerca de la Nueva Ley de Protección de Datos, que entró en vigor en diciembre del 2018 a la vera del nuevo Reglamento General de Protección de Datos Europeo que a su vez vio la luz hace poco mas de un año.
Los cambios de esta ley respecto a la última Ley de Protección de Datos de 1999, son tan grandes que es importante conocer algunos conceptos y principios que ni siquiera existían en la antigua Ley, ya que mucho ha cambiado la Sociedad de la información en estos casi 20 años
El Principio fundamental es lo que no ha cambiado, sigue siendo el mismo: Toda persona tiene derecho a protección de los datos personales que le conciernen.
Además, existen estos otros principios que lo completan:
- Los datos personales deben ser tratados de forma lícita, leal y transparente, es decir con honestidad, informando de forma transparente en lo que afecta al tratamiento.
- Los datos personales deben ser recogidos con fines determinados explícitos y legítimos, es decir, para la finalidad para las que fueron recogidos e informando y con una base legal que legitime el tratamiento, como el consentimiento explícito o la relación contractual.
- Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con el tratamiento.
- Los datos personales deben ser exactos y estar siempre actualizados
- Los datos personales deben mantenerse de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento
- Los datos personales deben ser tratados de tal manera que se garantice su seguridad, esto es tener las medidas de seguridad adecuadas al riesgo, aplicarlas y supervisarlas periódicamente, aplicando técnicas de cifrado de datos, controles de acceso, copias de respaldo, antivirus, etc.
Qué se entiende por datos personal
Es cualquier información relativa a una persona física identificada o identificable, eso incluye imagen, voz, información biométrica, una dirección IP, es decir, cualquier dato que nos permita identificar a alguien.
También son datos personales:
Nombre y apellidos, domicilio, dirección de correo electrónico, DNI,
¿Qué es un tratamiento de datos?
Es cualquier operación o conjunto de operaciones realizadas sobre datos personales, o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Hablemos un poco del documento de seguridad en el RGPD
En la antigua LOPD, se establecía la obligatoriedad de elaborar un Documento de Seguridad por parte de los responsables de los ficheros donde las medidas de seguridad podían ser de tipo bajo, medio o alto.
Con la llegada del RGPD, desaparece el Documento de Seguridad, igual que desaparecen los ficheros.
En su lugar, se exige al responsable del tratamiento y en su caso, del encargado, un registro de actividades de tratamiento que describa esas actividades y las medidas de seguridad aplicadas.
En lugar de establecerse por niveles (alto-medio-bajo) el RGPD establece que esas medidas serán establecidas en función al riesgo detectado, para lo cual se exige un análisis de riesgo previo al tratamiento.
Qué debe de contener El registro de actividades de tratamiento o RAT,
- Nombre y datos de contacto del responsable y, en su caso, del corresponsable, representante del responsable y del delegado de protección de datos.
- Finalidades del tratamiento.
- Categoría de interesados y categoría de datos personales.
- Categoría de destinatarios a quienes se comunicaron o comunicarán datos personales, así como terceros países u organizaciones internacionales.
- Transferencias de datos personales a un tercer país o una organización internacional.
- Plazos previstos para la supresión de los datos, cuando sea posible.
- Descripción general de las medidas técnicas y organizativas de seguridad.
El RAT incluye básicamente, la declaración de ficheros y el documento de seguridad; es una fusión de ambos.
La figura del responsable del tratamiento de datos
El responsable del fichero es la persona física o jurídica que decide sobre el tratamiento de los datos; con qué finalidad se van a utilizar, con quién se van a compartir y durante cuánto tiempo se van a conservar.
El responsable del tratamiento deberá determinar si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.
La figura del encargado del tratamiento de datos
Es la persona física o jurídica que trata datos personales por cuenta del responsable del tratamiento.
Normalmente, se trata de un tercero que realiza determinadas tareas por encargo del responsable, como una gestoría, un webmastser, una empresa de email marketing o un fabricante de software.
Es decir, siempre que, como responsable, el centro tenga que compartir datos de clientes o empleados, …etc. con otra empresa o un autónomo para que realicen un trabajo para el centro que implique el tratamiento de estos datos, estamos hablando de una relación de encargo de tratamiento que implica la presencia de un contrato de encargo que defina las condiciones del tratamiento, finalidades, obligaciones, etc.
Datos especialmente protegidos en la LOPD y RGPD
Son aquellos que tienen una especial incidencia en la intimidad, las libertades públicas y los derechos fundamentales de la persona.
Desde esa perspectiva y, debido a su impacto en la privacidad de las personas, se requiere un nivel mayor de protección.
En la antigua LOPD, entre los datos especialmente protegidos encontrábamos: datos de ideología, religión, creencias, origen racial, salud, vida sexual, comisión o infracciones penales o administrativas.
Con el RGPD, se mantienen los datos que la antigua LOPD definía como especialmente protegidos y añade tres categorías más:
- datos genéticos,
- datos biométricos,
- orientación sexual.
Por otra parte, se exigen nuevas condiciones para su tratamiento, como la seudonimización o anonimización, el cifrado, la necesidad de un informe de impacto sobre la privacidad (EIPD).
También se exige recabar el consentimiento explícito y específico para una finalidad concreta.
La Transferencias internacionales de datos en el RGPD
Este concepto es muy relevante en protección de datos, dado que en la actualidad es muy habitual que almacenemos información en herramientas herramientas ubicadas en países fuera de la Unión Europea. Es el caso de herramientas de email marketing, analíticas o incluso redes sociales.
Se entiende como transferencia internacional de datos, la transmisión de datos personales desde el Espacio Económico Europeo, es decir, los países de la UE más Liechtenstein, Islandia y Noruega a otros países fuera de la Unión Europea.
La transferencia internacional de datos solo se puede llevar a cabo si se cumplen unas condiciones establecidas en el RGPD y se han establecido las garantías adecuadas y los afectados cuentan con los derechos exigibles y acciones legales efectivas.
Entre estas garantías están:
- Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
- Normas corporativas vinculantes.
- Cláusulas tipo de protección de datos adoptadas por la Comisión.
- Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
- Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.
- Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.
Si se comparte datos con empresa fuera del territorio español hay que tener en cuenta:
- Saber si se trata de un país con nivel adecuado de Protección de Datos. De momento, estos son los países que cuentan con ese nivel: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda.
- Privacy Shield: Si se trata de empresas radicadas en los Estados Unidos, que se trate entidades certificadas en el marco del Escudo de privacidad UE-EEUU (Privacy Shield). Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016.
El consentimiento reforzado
En la nueva Ley este conceptos es muy importante: Es necesario tener un consentimiento real, verificable y granular; es decir, que sea específico.
No puedes requerir un consentimiento genérico para diferentes finalidades. No debe deducirse del silencio, ni valen las casillas marcadas de antemano.
Todos tus formularios deben incluir un sistema que recabe el consentimiento de acuerdo con estos requisitos y que permita acreditarlo.
El delegado de protección de datos
Es obligatorio para los siguientes casos:
- Si el tratamiento de los datos corre a cargo de una autoridad u organismo público.
- Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
- Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.
El delegado de protección de datos es la persona que actúa como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos.
Tiene que tener determinadas cualidades y acreditar conocimientos. Es importante que se garantice su independencia dentro de la organización, debiendo evitarse cualquier conflicto de intereses.
Los derechos ARCO
Son aquellos derechos a conocidos de acceso, rectificación, cancelación, oposición.
Ahora a esos derechos se añaden otros tres:
- Derecho a la limitación del tratamiento.
- Derecho a la portabilidad.
- Derecho al olvido.
El objetivo de estos nuevos derechos es el de ofrecer un mayor control a los ciudadanos sobre su propia información personal.
El centro debe permitir ejercer estos derechos de forma gratuita. También estás obligado a informar en tus textos legales sobre los medios que has habilitado para ejercitar estos derechos. Estos medios deben ser accesibles.
Además todas las solicitudes deben responderse en el plazo de un mes, aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más.
Si la solicitud se presenta por medios electrónicos, la información deberá facilitarse también por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.
Si, como responsable, se decide no dar curso a la solicitud, deberás informar al solicitante a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control, en el caso de España, a la Agencia Española de Protección de datos.
Las personas deben poder ejercer los derechos directamente o por medio de su representante legal o voluntario.
El derecho al olvido es el que tiene cualquier persona a que se suprima todo enlace que contenga información personal en internet, o las copias o réplicas de tales datos. Solo se puede hacer efectivo si no se trata de información de interés público. Además, es necesario que los datos ya no sea necesarios para la finalidad con la que se recogieron, se revoque el consentimiento, se oponga al tratamiento o que los datos se hayan tratado de forma ilícita o que los datos deban de eliminarse por obligación legal
En la nueva LOPD sigue habiendo infracciones muy graves, graves y leves, tomando en consideración la diferenciación que el Reglamento General de Protección de Datos establece al fijar la cuantía de las sanciones.
Las nuevas sanciones han aumentado notablemente: con la antigua LOPD, el importe máximo estaba en los 600.000€; ahora ese tope está en los 20 millones de euros o el 4% de la facturación bruta anual, la mayor de esa cifra. También se establece un nuevo sistema de indemnizacionesa afectados.