PROTECCIÓN DE DATOS: ENTRADA EN VIGOR DEL REGLAMENTO EUROPEO

 APLICACIÓN DEL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS (RGPD)

RESUMEN DE LOS ASPECTOS MAS RELEVANTES DEL NUEVO REGLAMENTO, SUS PRINCIPIOS, Y LAS  MEDIDAS QUE DEBEN SER ADOPTADAS PARA SU CUMPLIMIENTO POR LAS EMPRESAS.

El próximo 25 de mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD), normativa que va a suponer cambios en las obligaciones vigentes establecidas por la Ley Orgánica de Protección de Datos.

El RGPD se aplicará, como hasta ahora, a las empresas que procesan datos personales de residentes en la UE y que estén establecidas en la UE.

INDICE DEL DOCUMENTO

INTRODUCCIÓN.- RESUMEN DE LOS ASPECTOS FUNDAMENTALES DEL REGLAMENTO

I.- ¿A QUÉ TIPO DE DATOS HACE REFERENCIA EL NUEVO RGPD?

II.- EL CONSENTIMIENTO DEL INTERESADO PARA TRATAR SUS DATOS PERSONALES.

III.- PRINCIPALES ACTORES QUE INTERVIENEN EN EL TRATAMIENTO DE DATOS EN LA EMPRESA.

IV.- EL REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO DE DATOS OBTENIDOS.

V.- EL NUEVO RÉGIMEN SANCIONADOR PREVISTO EN EL RGPD.

ANEXO 1: EJEMPLOS DE CLAUSULAS INFORMATIVAS

ANEXO 2: CONTENIDO DEL REGISTRO DE ACTIVIDADES DE TRATAMIENTO.

ANEXO 3: DONDE OBTENER MÁS INFORMACIÓN Y HERRAMIENTAS PARA APLICAR EL REGLAMENTO EN LA EMPRESA.

INTRODUCCIÓN

RESUMEN DE LOS ASPECTOS FUNDAMENTALES DEL REGLAMENTO:

Se enumeran a continuación brevemente, las principales novedades y obligaciones que incorpora el nuevo Reglamento.

1º.- Establece que no será suficiente adoptar una serie de medidas de prevención, sino que las empresas deben estar en condiciones de poder demostrar que esas medidas cumplen con el Reglamento y son verdaderamente eficaces (responsabilidad proactiva).

2º.- No es posible tratar datos bajo la fórmula del consentimiento tácito (silencio, casillas ya marcadas, inacción del afectado). Se requiere una manifestación de voluntad inequívoca y para cada uno de los fines del tratamiento.

3º.- Si se pretende realizar un tratamiento ulterior para un fin distinto, que no sea aquel para el que se recogieron los datos, se deberá previamente informar al interesado.

4º.- Las medidas técnicas y organizativas a adoptar ya no se clasifican por niveles de seguridad, sino que será el Responsable del tratamiento quien “diseñe” las mismas en atención al estado de la técnica, coste, tipo de datos, naturaleza, ámbito, contexto y fines del tratamiento y los riesgos concretos que en su actividad y organización puedan existir para los derechos y libertades de las personas.

5º.- La Empresa deberá contar con un registro de las actividades de tratamiento.

6º.- En el supuesto de que el tratamiento entrañe un elevado riesgo para los derechos y libertades de las personas, y en determinados supuestos (tratamientos de datos a gran escala, elaboración de perfiles personales automatizado, etc.), será obligatorio realizar una evaluación de impacto antes de iniciar el tratamiento.

7º.- Obligatoriedad en determinados supuestos de designar y contar con los servicios de un Delegado de Protección de Datos o DPO (por sus siglas en inglés Data Protection Officer).

I.- ¿A QUÉ TIPO DE DATOS HACE REFERENCIA EL NUEVO RGPD?

El RGPD se centra en los datos de personas físicas, que se clasifican en dos categorías:

A) Datos personales: Toda información sobre una persona física identificada o identificable («el interesado»). Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante un identificador, como por ejemplo:

• Nombre y apellidos.

• Número de identificación.       

• Datos de localización.

• Un identificador online.

• Uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

B) Datos personales sensibles: El Reglamento establece categorías especiales de datos, mencionando lo que considera como datos sensibles que exigen una protección especial:

  • Origen racial o étnico.
  • Opiniones políticas.
  • Creencias religiosas o filosóficas.

 

II.- EL CONSENTIMIENTO DEL INTERESADO PARA TRATAR SUS DATOS PERSONALES.

El nuevo RGPD ha introducido algunas novedades respecto al consentimiento. En concreto destaca la introducción del carácter inequívoco del consentimiento, lo que implica que para obtenerlo se requiera una declaración o acción afirmativa por parte del interesado.

Según la definición contenida en el propio Reglamento:

“El consentimiento es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.”

El Reglamento añade expresamente el elemento inequívoco con respecto a la regulación anterior, exige que el interesado acepte el tratamiento de sus datos personales a través de una declaración o una clara acción afirmativa, que puede ser realizada por medios electrónicos o por escrito.

Este consentimiento debe obtenerse de manera independiente al hecho de celebrar un contrato, o al hecho de aceptar los términos y condiciones generales aplicables a un servicio que se contrate.

Por tanto, y esto es importante, el silencio, introducir en formularios casillas que ya aparecen marcadas o la mera inacción del interesado en cláusulas de estilo como: “Si en el plazo de 5 días no se manifiesta oposición, se entenderá que se acepta el tratamiento de los datos facilitados”, no supone bajo ninguna circunstancia prestar consentimiento. Es decir, el consentimiento tácito no será válido a partir del 25 de mayo de 2018.

El silencio, las casillas ya marcadas o la inacción NO constituirán prueba de consentimiento (Considerando 32 del GDPR).

¿Hay que obtener el consentimiento explícito de clientes ya existentes según el nuevo GDPR?

¿como se regulan los consentimientos de nuestros clientes o usuarios que fueron obtenidos con anterioridad a la entrada en vigor del nuevo Reglamento?.

En este sentido, el nuevo GDPR es tajante: si el consentimiento no se encontraba claramente identificado o se basó en formas tácitas o por omisión, deberá volverse a solicitar.

Habrá que tenerlo muy en cuenta, porque el tratamiento de datos sin el consentimiento de los usuarios se entiende como una infracción muy grave según el nuevo reglamento.

La opción que recomendamos es volver a solicitar el consentimiento de clientes y de proveedores de forma expresa, bien mediante el envío de un formulario al efecto por email para que se firme y se devuelva, bien en los supuestos de formularios online en las páginas web, introduciendo un link a tales efectos.

En este marco es recomendable que el cliente o proveedor firme el formulario prestando consentimiento con su FIRMA ELECTRÓNICA en el documento.

Si la firma es manuscrita, debe constar la fecha en la que se prestó el consentimiento.

Es muy importante guardar y conservar esta aceptación expresa en un registro, de manera que en cualquier momento y a requerimiento de la Agencia de Protección de Datos se pueda demostrar que la Empresa dispone de los consentimientos emitidos.

¿Qué información hay que ofrecer a nuestros clientes o proveedores cuando solicitemos su consentimiento para tratar sus datos?

El nuevo Reglamento exige la obligación de informar a los interesados sobre los siguientes aspectos:

1. La finalidad del tratamiento de los datos facilitados u obtenidos.

2. La identidad y datos de contacto del responsable del tratamiento o encargo en su caso.

3. Los derechos de los interesados y la forma en la cual se pueden ejercitar.

4.- La existencia de una relación mercantil o contractual entre la Empresa y sus clientes, proveedores, etc.

6. El plazo que se corresponderá con la duración de la relación contractual o mercantil entre las partes.

7. El derecho a presentar una reclamación ante las autoridades de control.

La revocación del consentimiento

El nuevo RGPD establece el derecho del interesado a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada.

Lo importante para cumplir con el nuevo Reglamento es que debe ser tan fácil retirar el consentimiento como darlo. Por ello, la Empresa también deben poner a disposición de sus clientes mecanismos para revocar fácilmente su consentimiento, e informar además sobre dichos mecanismos, por ejemplo un breve formulario que pueda ser firmado mediante firma digital y remitido a una dirección de correo electrónico de la Empresa.

      

Acreditación del Consentimiento                                                                          

Debemos tener presente que, en caso de tener que acreditar que el consentimiento se ha obtenido conforme al Reglamento, se debe poder demostrar fehacientemente que el consentimiento fue prestado de manera lícita y con los requisitos exigidos por el RGPD. Para ello, es necesario poder responder y acreditar las siguientes cuestiones o preguntas:

• ¿Quién otorgó el consentimiento?

• ¿Cuándo y cómo se otorgó el consentimiento?

• ¿Qué información recibió el interesado en el momento de otorgar el consentimiento?

Se adjunta un ANEXO donde se incluyen ejemplos de clausulas a introducir en los documentos de la empresa en relación con los clientes, potenciales clientes y proveedores.

 

III.-PRINCIPALES ACTORES QUE INTERVIENEN EN EL TRATAMIENTO DE DATOS EN LA EMPRESA.

El Reglamento General Protección Datos (RGPD) determina la intervención de diferentes personas en el tratamiento y en la responsabilidad relativa a los datos de carácter personal que se obtengan. A continuación se hace un breve resumen de cada una de tales personas y su ámbito de actuación.

Todos ellos son considerados responsables de la aplicación del RGPD en sus respectivos ámbitos de actuación:

A) El RESPONSABLE DEL FICHERO o del tratamiento es la persona física o jurídica que decide sobre el tratamiento de los datos; lo que va hacer con ellos. Por ejemplo, si los va a conservar, los va a ceder o los va a eliminar.

B) El ENCARGADO DEL TRATAMIENTO, es la persona física o jurídica que trata datos personales por cuenta del responsable del fichero, como consecuencia de la existencia de una relación contractual que le vincula con el mismo. (por ejemplo, una asesoría de protección de datos, una mutua prevención de riesgos, etc.).

No existe ningún impedimento en que el responsable y el encargado sean la misma persona. Cuando se encarga a un tercero la realización del tratamiento, la relación deberá estar regulada en un contrato por escrito en el que consten las obligaciones concretas que asume.

Entre sus obligaciones destacan como principales las siguientes:

a)  Se deberá realizar una valoración y análisis del riesgo de los tratamientos que se realicen y que deberá constar en un documento interno de la Empresa.

b)  Deberán determinar las medidas de seguridad aplicables a los tratamientos que realicen.

c)   Se deberá establecer una política interna de protección de datos, que deberá ser conocida por todos los trabajadores debiendo probarse dicho conocimiento.

d)  Instauración de políticas de obtención y tratamiento de los mínimos datos posibles.

e)  Notificación de “violaciones de seguridad de los datos” o “quiebras de seguridad”. Esto incluye todo incidente que ocasione destrucción, pérdida o alteración accidental o ilícita de datos personales.

C) El DELEGADO DE PROTECCIÓN DE DATOS, por sus siglas DPD, es una figura nueva que ha sido introducida por el RGPD, y asume competencias en materia de coordinación y control del cumplimiento de la normativa en materia de protección de datos.

      Esta figura no es obligatoria para todas las organizaciones: solo tendrán que contar con un delegado: a) las empresas públicas, b) las que tengan un tratamiento de datos a gran escala y c) las que recojan datos especialmente sensibles o relativos a condenas o infracciones penales.

      El Delegado puede elegirse de entre personal existente en la organización del responsable de los Datos o cumplir las tareas propias de esta figura a través de un contrato de servicios con un tercero (persona física o jurídica).

 

IV.- EL REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO DE DATOS OBTENIDOS

La AEPD (Agencia Española de Protección de Datos) define el Tratamiento de datos como: cualquier operación o procedimiento técnico, sea o no automatizado, que implique la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, bloqueo, modificación, o cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, etc.

El Reglamento establece que cada Responsable o, en su caso el Encargado, llevarán un REGISTRO de las actividades de tratamiento de datos recabados efectuadas bajo su responsabilidad.

El REGISTRO se define como: El documento, bien en formato papel o formato informático, en el cual se describe: qué datos recogen por la empresa, con qué fin son tratados o usados, a quién se les comunica, si se transfieren a terceros países, qué medidas técnicas y organizativas aplica la Empresa para preservar su seguridad, y cuándo se prevé podrán ser suprimidos por el Responsable de su tratamiento.

¿Quién está obligado a realizar el Registro de Actividades de Tratamiento de los Datos?

Dicha obligación corresponde tanto al Responsable del fichero como al Encargado del tratamiento (si fuera una persona diferente). Sin embargo, el RGPD no obliga a cualquier responsable o encargado a realizar ese Registro de actividades de tratamiento si no que establece unos requisitos:

1. La empresa u organización tenga más de 250 empleados.

2.Se realicen tratamientos que puedan entrañar un riesgo para los derechos y libertades de los interesados, no sean ocasionales, o incluyan categorías especiales de datos personales.

3.  Se realice un tratamiento de datos personales relativos a condenas e infracciones penales.

No obstante lo anterior y sin perjuicio de que la Empresa no se encuentre entre las obligadas, hay que decir que se trata de una práctica muy recomendable y una herramienta que va a permitir tanto al Responsable o encargado del tratamiento demostrar el cumplimiento de la normativa, ya que, recordemos, el RGPD trae como novedad el principio de responsabilidad proactiva, por el cual, el responsable del tratamiento no solo deberá cumplir con la normativa, sino que deberá ser capaz de demostrarlo si así se lo requiere la Autoridad competente en materia de Protección de Datos.

 V.- EL NUEVO RÉGIMEN SANCIONADOR PREVISTO EN EL RGPD.

Finalizamos el documento haciendo mención al nuevo régimen de sanciones que contempla el Reglamento, indicar que establecen unas sanciones con cuantías mucho más elevadas que las dispuestas en la anterior normativa con la LOPD.

Estas sanciones se impondrán atendiendo a la gravedad del incumplimiento, su duración, la forma en la que tuvo conocimiento la autoridad de control y las medidas que se adoptaron por el responsable o el encargado para paliar los daños.

Dichas sanciones se encuentran establecidas en los siguientes umbrales:

Multas de hasta 10 Millones de Euros o el 2% del volumen de negocio global del último año en los siguientes casos:

§  Se incumplan las obligaciones previstas en materia de control de datos.

§  Se vulneren las obligaciones que atañen al Responsable y al Encargado.

§  Se incumplan las obligaciones a cumplir en materia de certificación sobre el cumplimiento de la normativa y requisitos en Protección de Datos que las Empresas hubieran obtenido.

Multas de hasta 20 Millones de Euros o el 4% del volumen de negocio global del último año en los siguientes casos:

§  En supuestos de transferencias a terceros países de datos sin consentimiento

§  Se incumplan resoluciones de la autoridad de control

§  Vulneraciones de los derechos de los interesados

§  Vulneraciones de los principios básicos del tratamiento

Las sanciones más altas se impondrán a empresas que posean un gran volumen de negocios, no siendo tan cuantiosas para aquellas que posean menores ingresos. No obstante, visto el Régimen Sancionador que se impone en esta normativa, entendemos resulta totalmente necesario ajustarse a la misma, a fin de no incurrir en multas de este carácter.

ANEXO INFORMATIVO 1

EJEMPLOS DE CLAUSULAS INFORMATIVAS EN DOCUMENTOS.

1) TRATAMIENTO DE DATOS DE CLIENTES  [1]

Cláusula informativa RGPD: Responsable del tratamiento: Empresa: ……..- CIF: …….- Dirección postal: Calle …………… -teléfono:…….. -correo electrónico: …………..@……………

“La empresa:………….. tratará la información que nos facilita con el fin de prestarles el servicio solicitado y realizar la facturación del mismo. Los datos proporcionados se conservarán mientras se mantenga la relación comercial o durante los años necesarios para cumplir con las obligaciones legales. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal. Usted tiene derecho a obtener confirmación sobre si en ‘………………’ estamos tratando sus datos personales, por tanto tiene los siguientes derechos: a acceder a sus datos personales, a rectificar los datos inexactos o solicitar su supresión cuando los datos ya no sean necesarios. En caso de entender que sus derechos han sido vulnerados podrá interponer una reclamación ante la Agencia Española de Protección de Datos.

Solicitud de consentimiento expreso: Al objeto de cumplir con lo establecido por el RGPD, se solicita su autorización para ofrecerle productos y servicios relacionados con los solicitados y para llevar a cabo acciones promocionales y de fidelización como cliente. Para ello, marque la casilla de su elección.  q SI      q NO                                    .

Modo de acceso a sus derechos: Para de dar de baja o cancelar sus datos personales, así como rectificarlos, puede remitir un correo electrónico a la dirección: ……….@……. indicando su voluntad de cancelación o la rectificación que interese.

Firma electrónica                                      Firma escrita   /Fecha del consentimiento……..

2) TRATAMIENTO DE DATOS CON PROVEEDORES  [2]

” Cláusula informativa RGPD: Responsable del tratamiento: Empresa: ……..- CIF: …….- Dirección postal: Calle …………… -teléfono:…….. -correo electrónico: …………..@……………

“En nombre de la empresa …………… trataremos la información que nos facilita con el fin de elaborar y realizar los pedidos y facturar los productos/servicios. Los datos proporcionados se conservarán mientras se mantenga la relación comercial o durante los años necesarios para cumplir con las obligaciones legales. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal. Usted tiene derecho a obtener confirmación sobre si en la empresa …………… estamos tratando sus datos personales; por tanto tiene derecho a acceder a sus datos personales, rectificar los datos inexactos o solicitar su supresión cuando los datos ya no sean necesarios. En caso de entender que sus derechos han sido vulnerados podrá interponer una reclamación ante la Agencia Española de Protección de Datos.

Solicitud de consentimiento expreso: Al objeto de cumplir con lo establecido por el RGPD, se solicita su autorización para el tratamiento de sus datos para llevar a cabo las actuaciones necesarias derivadas de la relación comercial entre ambas empresas, como facturación, envío de comunicados, transferencias bancarias, declaraciones fiscales.

Para ello es imprescindible que  marque la casilla de su elección:     SI        NO

Modo de acceso a sus derechos: Para de dar de baja o cancelar sus datos personales, así como rectificarlos, puede remitir un correo electrónico a la dirección: …………..@…………….com indicando su voluntad de cancelación o la rectificación que interese.”

ANEXO INFORMATIVO 2

REGISTRO DE ACTIVIDADES DE TRATAMIENTO DATOS

A  continuación se inserta diversos aspectos relativos a este Registro, a efectos de ser utilizado a modo de ejemplo o plantilla por la Empresa para su elaboración en caso de estimarlo oportuno.

1) CONTENIDO: El Registro realizado por el Responsable o Encargado del fichero, debe contener la información siguiente:

a)  El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.

b)  Los fines del tratamiento.

c)  Una descripción de las categorías de interesados y de las categorías de datos personales.

d)  Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.

e)  En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional, así como la documentación sobre garantías adecuadas para determinados casos.

f)   Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.

g)  Y cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que el responsable aplique para garantizar la integridad y confidencialidad de los datos.

2) ¿Cómo elaborar el Registro de actividades de tratamiento?

Este Registro debe constar siempre por escrito aunque también se consideran válidos en formato electrónico. Lo importante es disponer del mismo por parte del Responsable o del Encargado, pues se encuentran obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros de modo que puedan servir para supervisar las operaciones de tratamiento que la Empresa realice sobre los datos recogidos.

3) ¿Cómo puede organizarse el Registro por el Responsable o Encargado?

Una sugerencia es organizar el Registro en torno a operaciones de tratamiento concretas y vinculadas a una finalidad básica común de todas las operaciones que se realicen con los Datos.

Por ejemplo: el Registro se puede dividir en “gestión de clientes”, “gestión contable” o “gestión de recursos humanos y nóminas”, o con arreglo a otros criterios distintos en función de la actividad concreta y necesidades de cada Empresa.

4) Ya hemos elaborado el Registro, ahora ¿qué hacemos con él?

El Registro de actividades de tratamiento debe guardarse en la empresa y tenerlo siempre actualizado y a disposición de la Autoridad de control por si ésta lo solicitara a la empresa con ocasión de una inspección rutinaria o como consecuencia de una reclamación.

 

ANEXO INFORMATIVO 3

Donde obtener más información y herramientas para aplicar el Reglamento en la Empresa.

1) Ampliar la información: En la Agencia Española de Protección de datos (AEPD) se puede acceder a la normativa, documentos explicativos y guías para la aplicación del Regalmento.

 

Agencia Española de Protección de Datos

 

2) Herramientas disponibles por la AEPD: La Agencia dispone de dos guías que pueden servir a la Empresa para adaptar su actuación a la normativa.

De igual modo, ofrece un cuestionario online con el que empresas y profesionales pueden obtener los documentos mínimos indispensables para ayudar a cumplir con el Reglamento.

A continuación se indican los enlaces a las herramientas y documentos citados:

·         Para el Analisís de Riesgos sobre tratamiento de Datos:

Guía de Análisis de Riesgo

·         Para la Evaluación de Impacto en la Protección de Datos:

Guía de Evaluación de Impacto en la Protección de Datos

·         Cuestionario para entidades que gestionan y tratan datos de escaso riesgo:

Facilita_RGPD 

 

Notas Píe: 

[1]  Por clientes hay que entender aquellas personas con las que se mantiene una relación comercial. La definición incluye distintas categorías de datos personales: los necesarios para el mantenimiento de la relación comercial y su gestión como facturar, enviar publicidad postal o por correo electrónico, servicio postventa y fidelización;  los datos de identificación: nombre y apellidos, NIF, dirección postal, teléfonos, e-mail y, finalmente, los datos bancarios: para la domiciliación de pagos.

Ejemplo: Este es un ejemplo del texto que debería incluirse en todos aquellos formularios que utilice o para recabar datos personales de sus clientes, tanto si se realiza en soporte papel como si los recoge a través de un formulario web.

NOTA: Si el titular de los datos ha marcado   NO  la Empresa en ningún caso podrá enviarle publicidad posteriormente o promoción de productos.

[2] Serían aquellos datos que se obtienen con la finalidad de gestionar la relación con los proveedores de productos y servicios. Los datos son todos los necesarios para el mantenimiento de la relación comercial,  como la identificación, nombre, NIF, dirección postal, teléfonos, e-mail. Los datos podrán conservarse hasta cumplir con los plazos previstos por la legislación fiscal respecto a la prescripción de responsabilidades.

Nota: Si los proveedores aportan sus datos mediante otro sistema, se les pedirá que firmen un formulario fechado en que figure la información antes citada.

Leave a Reply