lawandtrends.com

LawAndTrends



En nuevo Reglamento Europeo de Protección de Datos entró en vigor el 25 de mayo de 2016. Pero será, justo dentro de un mes,  el 25 de mayo de 2018 cuando comience a ser directamente aplicable. Este margen de 2 años tenía como objetivo dar tiempo a Estados, Instituciones de la UE y a todo aquel que gestione datos personales para prepararse y adaptarse. En el contexto de esta adaptación el Gobierno aprobó el pasado 10 de noviembre el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Proyecto de Ley sobre el que existen dudas que pueda estar aprobado antes del 25 de mayo. En cualquier caso su no aprobación no impide la aplicación directa del Reglamento Europeo.

Las principales novedades del Reglamento son:

 

Derecho al olvido

Poder solicitar respecto a los datos que se refieran a nosotros y resulten obsoletos, incompletos, falsos, irrelevantes y sin interés público, el bloqueo de los resultados de los buscadores en Internet.

Derecho a la portabilidad

Poder solicitar a la entidad que esté tratando nuestros datos su recuperación en un formato que permita su traslado a otra entidad.

Principio de responsabilidad activa

Se impone al responsable y al encargado del tratamiento estar en condiciones de probar que cumple con la normativa de protección de datos de carácter personal.

Consentimiento para tratar datos personales

Éste debe ser libre, informado, específico e inequívoco. Debe también prestarse mediante una acción positiva del interesado. No es válido el consentimiento tácito.

 

Veamos con más detalle estas novedades del Reglamento y también los del proyecto de Ley que está tramitando el Gobierno mediante esta tabla práctica.

 

La protección de datos es un derecho fundamental pero no absoluto

 

Es un derecho fundamental no absoluto que ostentan las personas físicas. Busca proteger los datos personales propios frente a intromisiones o violaciones ilegítimas de su intimidad o privacidad.

Protege los datos personales de las personas físicas frente a su tratamiento automatizado y no automatizado

(Arts. 1 y 2)

 

Protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales. Y se aplica al tratamiento total o parcialmente automatizado de datos, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. Se excluyen de su ámbito de aplicación los tratamientos de datos policiales y judiciales (la Directiva 95/46/CE no hacía esta exclusión).

Se aplica a entidades establecidas en la UE y a las que oferten bienes y servicios a ciudadanos de la UE

(Art. 3)

•El Reglamento es de aplicación a entidades establecidas en la UE pero también a empresas que realicen tratamiento de datos relacionados con la oferta de bienes y servicios destinados a ciudadanos europeos, o bien como consecuencia de la monitorización o seguimiento de su comportamiento.

•Estas organizaciones deben designar un representante en la UE e informar de ello a los ciudadanos. Esto obligará a que las grandes empresas de Internet cumplan con la normativa de la UE.

No se aplica a la protección de datos personales de personas fallecidas

(Considerando 27)

•El Reglamento fija en su Considerando 27 que: “No se aplica a la protección de datos personales de personas fallecidas. Los Estados miembros son competentes para establecer normas relativas al tratamiento de los datos personales de éstas”.

•El Proyecto de reforma de la LOPD remite respecto al acceso a los datos de personas fallecidas por parte de sus herederos y al acceso a los contenidos de personas fallecidas que se encuentren en poder de prestadores de servicios de la sociedad de la información (sitios web, blogs, redes sociales…) a las instrucciones aportadas por aquellas.

No se excluye de su ámbito de aplicación los datos de empresarios individuales

(Art 6)

•La LOPD excluía de su ámbito de aplicación los datos de contacto y de empresarios individuales.

•El Reglamento Europeo que no los excluye. La legitimación para su uso se encontrará en la regla de ponderación

de intereses del artículo 6.1 f).

•El Proyecto de reforma de la LOPD, art. 12, dice siempre que se traten los mínimos datos imprescindibles de contacto, y se realice con fines de mantenimiento de relaciones de cualquier tipo.

Base jurídica que legitima el tratamiento de datos.

(Art. 6)

 

El Reglamento mantiene los principios recogidos en la Directiva 95/46/CE y en la LOPD de que todo tratamiento de datos personales exige una base jurídica que lo legitime:

Consentimiento del afectado.

Existencia de una relación contractual.

Existencia de un interés legítimo prevalente del responsable o de terceros a los que se ceden o comunican los datos personales.

Justificado en una necesidad vital del interesado.

Cuando resulte una obligación legal para el responsable del tratamiento.

Exista un interés público o se derive del ejercicio de poderes públicos.

El consentimiento debe ser libre, informado, específico e inequívoco y prestarse mediante acción positiva

(Art. 4.11)

•El consentimiento para tratar datos personales, con carácter general debe ser libre, informado, específico e inequívoco y debe prestarse mediante una acción positiva del interesado. No será válido como hasta ahora, el consentimiento tácito.

Para datos sensibles (origen étnico, opiniones políticas, salud, orientación sexual,) se requiere consentimiento explícito.

•El consentimiento obtenido debe ser verificable.

Derechos de información, limitación, rectificación, oposición, olvido y portabilidad

(Cap. III)

•El Reglamento Europeo establece el derecho información de los afectados. Diferencia los derechos de rectificación y de supresión (olvido). El derecho de oposición forma parte del derecho de supresión, y crea los derechos de limitación y el de portabilidad.

•El Proyecto de reforma de la LOPD dedica su Capítulo II a los derechos de acceso (art. 13), rectificación (art. 14), supresión (art. 15), limitación del tratamiento (art. 16),  portabilidad (art. 17) y oposición (art. 18). Se introduce la obligación de bloqueo (art. 32) que garantiza que esos datos queden a disposición de un tribunal, el Ministerio Fiscal u otras autoridades competentes (como la AEPD) para la exigencia de posibles responsabilidades derivadas de su tratamiento.

16 años de edad para consentir el tratamiento de datos en Internet

•La edad en que los menores pueden consentir el tratamiento de sus datos en Internet es de 16 años.

•Pero el Proyecto de LOPD en su art. 7 fija que para el tratamiento de datos personales de un menor de edad con su consentimiento éste debe ser mayor de 13 años.

Las empresas deben poder verificar dicha edad debiendo redactar sus cláusulas de privacidad en un lenguaje claro que puedan entender los menores.

Obligación de explicar con lenguaje sencillo y claro, la base legal para el tratamiento de los datos, los periodos de retención de los mismos, y el derecho a reclamar ante las Autoridades de Protección de Datos

(Arts. 12, 13 y 14)

 

•La información se configura como derecho de los interesados y se impone la necesidad, de explicar con un lenguaje sencillo y claro, la base legal para el tratamiento de los datos, los periodos de retención de los mismos, y que los interesados pueden reclamar ante las Autoridades de Protección de Datos.

•El Proyecto de LOPD se contiene un esquema de información por capas, en determinados supuestos de obtención de datos

 

El responsable, y el encargado del tratamiento deben poder probar que cumplen con la normativa de protección de datos de carácter personal

(Art. 28.1 y Considerando 81)

•El Reglamento establece el “principio de responsabilidad activa” (accountability) imponiendo al responsable, y al encargado del tratamiento, poder demostrar que cumplen con la normativa en materia de protección de datos de carácter personal. El responsable debe adoptar medidas apropiadas, como la elección de encargados.

Esta previsión afecta al encargado cuando subcontraten servicios que impliquen acceso a datos, con otros subencargados.

•Con este objetivo se establecen las siguientes medidas:

-Protección de datos desde el diseño.

-Protección de datos por defecto: sólo se deben recopilar aquellos datos que sean estrictamente necesarios.

-Medidas de seguridad específicas: adecuadas al riesgo que tenga la organización.

-Mantenimiento de un registro de actividades de tratamientos.

-Realización de evaluaciones de impacto sobre la protección de datos (EIPD).

-Nombramiento de un delegado en protección de datos: cuando el tratamiento lo lleve a cabo una entidad pública y entidades privadas que realicen tratamientos de datos “especiales” a gran escala.

-Notificación de violaciones o quiebras de la seguridad.

-Promoción de códigos de conducta y esquemas de certificación.




No hay comentarios.


Hacer un comentario

He leido y acepto los términos legales y la política de privacidad