El 12 de septiembre de 2005, se publicaba la entrada titulada “Seguridad informática y protección de datos”. Hoy, 12 años más tarde y a seis meses de su fecha de aplicación, hablamos del Reglamento General de Protección de Datos y vamos a tratar de señalar qué ha cambiado desde entonces y qué implica su aplicación, tanto para la empresa responsable del tratamiento de los datos de carácter personal (o encargado del mismo por parte de un responsable) como para el ciudadano (titular de los mismos).
El RGPD es un Reglamento Europeo que entró en vigor el 25 de mayo de 2016, es una legislación europea, de aplicación directa en todos los países de la UE, al contrario que la LOPD (Ley orgánica de protección de datos), legislación española que responde a la transposición de la directiva europea 95/46.
Además del RGPD, tendremos como compañera de este a la “nueva” LOPD (aprobada en el Consejo de Ministros del pasado viernes 10 de noviembre), que podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite, por lo que será necesario acudir a la LOPD y al RGPD para conocer las obligaciones y derechos que nos afectan.
El RGPD no sólo es de aplicación a todo responsable o encargado establecido en la UE, sino que lo es también a empresas establecidas fuera de la Unión que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea. Es decir que el RGPD pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de internet.
El RGPD en las empresas.
Vamos a desarrollar fundamentalmente los aspectos que pueden ser del interés de las empresas, en su papel de responsables y/o encargados de tratamiento. El RGPD contiene también novedades importantes, que entran en el apartado de los Derechos del titular de los datos, y que, por tanto, suponen obligaciones para los responsables y encargados de tratamiento.
Como comentario general, diríamos que el nuevo escenario es más flexible y exige, por tanto, más atención para las empresas. Frente a unas formas de pensar “tabuladas” (como han sido los conocidos niveles básico, medio y alto de medidas de seguridad detallados en el reglamento de desarrollo de la “vieja” LOPD), se imponen formas de pensar más abiertas, en las que aparecen conceptos como el enfoque a riesgos, la evaluación de impacto o la protección de datos desde el diseño.
Como idea fundamental, el RGPD obedece al principio de responsabilidad proactiva que requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo para, a partir de este conocimiento, determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
Comenzando por el principio, en la obtención de datos de carácter personal, aparece uno de los cambios importantes del RGPD en relación a la LOPD: la forma de obtener el consentimiento del interesado para el tratamiento de sus datos, que exige que sea libre, informado, específico e inequívoco, lo que deja sin valor el consentimiento tácito hasta ahora permitido. Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa.
Además de la nueva forma de obtener el consentimiento, las empresas deben informar de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo sobre la base legal para el tratamiento de los datos, los períodos de retención de los mismos y otros aspectos. Adicionalmente se debe informar sobre la forma de ejercicio de sus derechos al titular de los datos, teniendo en cuenta que se han añadido derechos como el de portabilidad, que obliga a las empresas a proporcionar al interesado la información que se tiene de él en un formato estructurado, de uso común y lectura informatizada.
Como decíamos, las medidas de seguridad a aplicar a los tratamientos de datos no se establecen ya en función de unos niveles básico, medio y alto. En el RGPD se define que los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo. El tipo de análisis variará en función de los tipos de tratamiento, la naturaleza de los datos o el número de interesados afectados.
Tampoco el Documento de Seguridad, exigido en el reglamento de desarrollo de la LOPD y en el que se establecen los niveles de seguridad básico, medio y alto está ya en el RGPD. No obstante, se deberá disponer de un registro de actividades de tratamiento, que deberá contener información sobre finalidades del tratamiento, categorías de datos personales tratados, sistemas de tratamiento y medidas de seguridad aplicadas.
El RGPD introduce otro aspecto también nuevo en la protección de datos desde el diseño, que exige que se analice en términos de protección de datos, desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales.
Como hemos comentado, las medidas de seguridad que se deberán tener en cuenta no se relacionan en el RGPD con el tipo de datos personales que se tratan, como ocurría en la LOPD. En su lugar, se establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo. Para ello, los responsables podrán llevar a cabo una evaluación de impacto sobre la protección de datos con carácter previo a la puesta en marcha de aquellos tratamientos, que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.
Por último, analizamos una de las novedades más importantes del RGPD, mediante la cual la posición de las empresas se pretende que sea más proactiva y de mayor responsabilidad en todo lo relativo a la protección de datos de carácter personal. El RGPD establece para ello la figura del Delegado de Protección de Datos (DPD) que será obligatoria en algunos casos.
Y otros que se enumeran en el borrador de la nueva LOPD.
El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos. Aunque no debe tener una titulación específica, en la medida en que entre las funciones del DPD se incluya el asesoramiento al responsable o encargado en todo lo relativo a la normativa sobre protección de datos, los conocimientos jurídicos en la materia son sin duda necesarios, pero también es necesario contar con conocimientos ajenos a lo estrictamente jurídico, como por ejemplo en materia de tecnología aplicada al tratamiento de datos o en relación con el ámbito de actividad de la organización en la que el DPD desempeña su tarea.
Es importante tener en cuenta, en relación con la obligación de nombrar un DPD (cuando sea exigible) que:
Este último aspecto del RGPD analizado ya permite prever un crecimiento importante en la prestación de servicios de “outsourcing” del rol del DPD por las organizaciones, públicas y privadas, por la dificultad de incorporar a profesionales del perfil requerido y por la facilidad que supone la posibilidad de acudir a un contrato de servicios.
En este sentido, es importante señalar la AEPD promueve un sistema de certificación de profesionales de protección de datos como herramienta de evaluación de candidatos a DPD.Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados y en las que se tienen en cuenta tanto la formación acreditada como la experiencia en labores relacionadas con la protección de datos de carácter personal.
Además del RGPD, tendremos como compañera de este a la “nueva” LOPD (aprobada en el Consejo de Ministros del pasado viernes 10 de noviembre), que podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite, por lo que será necesario acudir a la LOPD y al RGPD para conocer las obligaciones y derechos que nos afectan.
El RGPD no sólo es de aplicación a todo responsable o encargado establecido en la UE, sino que lo es también a empresas establecidas fuera de la Unión que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea. Es decir que el RGPD pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de internet.
El RGPD en las empresas.
Vamos a desarrollar fundamentalmente los aspectos que pueden ser del interés de las empresas, en su papel de responsables y/o encargados de tratamiento. El RGPD contiene también novedades importantes, que entran en el apartado de los Derechos del titular de los datos, y que, por tanto, suponen obligaciones para los responsables y encargados de tratamiento.
Como comentario general, diríamos que el nuevo escenario es más flexible y exige, por tanto, más atención para las empresas. Frente a unas formas de pensar “tabuladas” (como han sido los conocidos niveles básico, medio y alto de medidas de seguridad detallados en el reglamento de desarrollo de la “vieja” LOPD), se imponen formas de pensar más abiertas, en las que aparecen conceptos como el enfoque a riesgos, la evaluación de impacto o la protección de datos desde el diseño.
Como idea fundamental, el RGPD obedece al principio de responsabilidad proactiva que requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo para, a partir de este conocimiento, determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
Comenzando por el principio, en la obtención de datos de carácter personal, aparece uno de los cambios importantes del RGPD en relación a la LOPD: la forma de obtener el consentimiento del interesado para el tratamiento de sus datos, que exige que sea libre, informado, específico e inequívoco, lo que deja sin valor el consentimiento tácito hasta ahora permitido. Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa.
Además de la nueva forma de obtener el consentimiento, las empresas deben informar de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo sobre la base legal para el tratamiento de los datos, los períodos de retención de los mismos y otros aspectos. Adicionalmente se debe informar sobre la forma de ejercicio de sus derechos al titular de los datos, teniendo en cuenta que se han añadido derechos como el de portabilidad, que obliga a las empresas a proporcionar al interesado la información que se tiene de él en un formato estructurado, de uso común y lectura informatizada.
Como decíamos, las medidas de seguridad a aplicar a los tratamientos de datos no se establecen ya en función de unos niveles básico, medio y alto. En el RGPD se define que los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo. El tipo de análisis variará en función de los tipos de tratamiento, la naturaleza de los datos o el número de interesados afectados.
Tampoco el Documento de Seguridad, exigido en el reglamento de desarrollo de la LOPD y en el que se establecen los niveles de seguridad básico, medio y alto está ya en el RGPD. No obstante, se deberá disponer de un registro de actividades de tratamiento, que deberá contener información sobre finalidades del tratamiento, categorías de datos personales tratados, sistemas de tratamiento y medidas de seguridad aplicadas.
El RGPD introduce otro aspecto también nuevo en la protección de datos desde el diseño, que exige que se analice en términos de protección de datos, desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales.
Como hemos comentado, las medidas de seguridad que se deberán tener en cuenta no se relacionan en el RGPD con el tipo de datos personales que se tratan, como ocurría en la LOPD. En su lugar, se establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo. Para ello, los responsables podrán llevar a cabo una evaluación de impacto sobre la protección de datos con carácter previo a la puesta en marcha de aquellos tratamientos, que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.
Por último, analizamos una de las novedades más importantes del RGPD, mediante la cual la posición de las empresas se pretende que sea más proactiva y de mayor responsabilidad en todo lo relativo a la protección de datos de carácter personal. El RGPD establece para ello la figura del Delegado de Protección de Datos (DPD) que será obligatoria en algunos casos.
- Autoridades y organismos públicos.
- Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
- Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.
Y otros que se enumeran en el borrador de la nueva LOPD.
El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos. Aunque no debe tener una titulación específica, en la medida en que entre las funciones del DPD se incluya el asesoramiento al responsable o encargado en todo lo relativo a la normativa sobre protección de datos, los conocimientos jurídicos en la materia son sin duda necesarios, pero también es necesario contar con conocimientos ajenos a lo estrictamente jurídico, como por ejemplo en materia de tecnología aplicada al tratamiento de datos o en relación con el ámbito de actividad de la organización en la que el DPD desempeña su tarea.
Es importante tener en cuenta, en relación con la obligación de nombrar un DPD (cuando sea exigible) que:
- Se permite nombrar un solo DPD para un grupo empresarial.
- Se permite que el DPD mantenga con responsables o encargados una relación laboral o mediante un contrato de servicios.
- Está permitido que el DPD desarrolle sus funciones a tiempo completo o parcial.
- Para definir las funciones del DPD se deberá atender a lo establecido en el RGPD.
Este último aspecto del RGPD analizado ya permite prever un crecimiento importante en la prestación de servicios de “outsourcing” del rol del DPD por las organizaciones, públicas y privadas, por la dificultad de incorporar a profesionales del perfil requerido y por la facilidad que supone la posibilidad de acudir a un contrato de servicios.
En este sentido, es importante señalar la AEPD promueve un sistema de certificación de profesionales de protección de datos como herramienta de evaluación de candidatos a DPD.Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados y en las que se tienen en cuenta tanto la formación acreditada como la experiencia en labores relacionadas con la protección de datos de carácter personal.
Juan Carlos López
AIDCON CONSULTING
AIDCON CONSULTING
Más información:
Reglamento General de Protección de Datos
https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/union_europea/reglamentos/common/pdfs/Reglamento_UE_2016-679_Proteccion_datos_DOUE.pdf
Anteproyecto de Ley Orgánica de Protección de Datos
http://www.mjusticia.gob.es/cs/Satellite/Portal/1292428461386?blobheader=application%2Fpdf&blobheadername1=Content-Disposition&blobheadervalue1=attachment%3B+filename%3DAPLO_Proteccion_Datos_Caracter_Personal_Texto.PDF
Guía del Reglamento General de Protección de Datos para responsables de tratamiento
https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf
https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/union_europea/reglamentos/common/pdfs/Reglamento_UE_2016-679_Proteccion_datos_DOUE.pdf
Anteproyecto de Ley Orgánica de Protección de Datos
http://www.mjusticia.gob.es/cs/Satellite/Portal/1292428461386?blobheader=application%2Fpdf&blobheadername1=Content-Disposition&blobheadervalue1=attachment%3B+filename%3DAPLO_Proteccion_Datos_Caracter_Personal_Texto.PDF
Guía del Reglamento General de Protección de Datos para responsables de tratamiento
https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf
