Con la publicación del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 de 27 de abril de 2016) que comenzará a aplicarse el 25 de mayo de 2018, la Unión Europea ha modernizado y adaptado a la situación actual el tratamiento de datos personales cuya regulación se provenía de la Directiva 95/46 y las correspondientes normas nacionales.
El Reglamento General de Protección de Datos (RGPD) es una norma directamente aplicable, por lo que no necesita de nuevas normas de desarrollo, si bien está prevista la creación de una nueva ley que sustituya a la actual LOPD, que sí podrá incluir algunas precisiones en las materias en las que el RGPD lo permite.
Aunque gran parte de los principios y conceptos contenidos en el RGPD son muy similares a los establecidos por la Directiva 95/46, también se modifican algunos aspectos de la actual normativa y se introducen nuevas obligaciones que deberán ser tenidas en cuenta por las organizaciones que llevan a cabo tratamiento de datos de carácter personal.
Elementos novedosos en los que se basa el RGPD
Principio de responsabilidad proactiva
Las organizaciones deben analizar qué datos tratan, con qué finalidad y el tipo de tratamiento que se les da a los datos, determinando la forma en que aplicarán las medidas previstas por el RGPD para garantizar su cumplimiento.
Enfoque de riesgo
Las medidas a aplicar para garantizar el cumplimiento de lo dispuesto por el RGPD deberán adecuarse al tipo de organización.
En el plano de las posibles infracciones y sanciones, las multas administrativas previstas son muy elevadas, pudiendo llegar a ser de 20.000.000 € o la cuantía equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, estando además previsto el derecho a indemnización por parte del responsable o el encargado del tratamiento, para toda persona que haya sufrido daños y perjuicios.
Aspectos clave para la adaptación de una organización al RGPD
Determinación de la aplicabilidad del RGPD en función del ámbito de la organización.
Teniendo en cuenta las disposiciones y exclusiones de los artículos 2 y 3 del RGPD, se deberá determinar si éste es aplicable tanto por el ámbito material (tipología del tratamiento), como por el ámbito territorial (lugar de establecimiento del responsable o encargado del tratamiento) de la organización.
Determinación de la licitud del tratamiento.
La organización debe determinar cuál es la base legal de los tratamientos que realiza. Si alguno de los tratamientos que realiza se basa en el consentimiento del interesado, se debe asegurar que ese consentimiento reúne los requisitos que exige el RGPD.
Identificación de la tipología de los datos y valoración del riesgo.
Una vez que se hayan determinado la aplicabilidad y la base legal de los tratamientos, se procederá a analizar detenidamente la tipología de los datos y del tratamiento a aplicar, a fin de establecer las medidas a poner en marcha para garantizar el cumplimiento con las disposiciones del RGPD. Este análisis debe quedar documentado y la metodología a emplear y extensión del mismo dependerá fundamentalmente del tamaño de la organización y de la complejidad del tratamiento que lleve a cabo.
Evaluación de la obligatoriedad de mantener un registro de las actividades de tratamiento.
El RGPD prevé que el responsable y/o encargado mantengan un registro de operaciones de tratamiento que contenga la información que el propio RGPD establece. Las organizaciones que empleen a menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales, están exentas de esta obligación.
Determinación de las medidas de seguridad a aplicar para la protección de datos.
Teniendo en cuenta la tipología de los datos y el tratamiento que se les vaya a dar, así como el estado de la técnica, los costes de aplicación, y los riesgos anteriormente evaluados, cada organización deberá establecer las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado al riesgo.
Comprobación de la obligatoriedad de realizar una evaluación de impacto y en su caso realización de consulta previa.
Cuando sea probable que un tipo de tratamiento (en particular si utiliza nuevas tecnologías) conlleve un alto riesgo para los derechos y libertades de los interesados será obligatorio (con carácter previo al tratamiento) realizar una evaluación del impacto sobre la protección de datos (EIPD).
En el caso en que la EIPD identifique un alto riesgo que, a juicio del responsable del tratamiento no pueda mitigarse por medios razonables, deberá realizarse una consulta a la autoridad de control para obtener el asesoramiento oportuno.
Obligatoriedad de notificación de “violaciones de seguridad de los datos”.
Cuando se produzca una violación de la seguridad de los datos (por ejemplo, pérdida de un portátil, acceso no autorizado a bases de datos, etc.), se debe notificar a la autoridad de protección de datos competente, y se debe evaluar la necesidad de notificar a los interesados.
Comprobación de la obligatoriedad de nombrar un delegado de protección de Datos (DPD).
Dependiendo del tipo de organización y del tipo de tratamiento de datos, será obligatorio el nombramiento de un Delegado de Protección de Datos (DPD) que cumpla con los requisitos y funciones establecidos por el RGPD.
La AEPD ha promovido un sistema de certificación de profesionales, que, si bien no se trata de un requisito indispensable, si será una herramienta útil a la hora de evaluar a los candidatos a optar a este puesto.
Revisión de la existencia de transferencias internacionales de datos.
Los responsables y/o encargados de los tratamientos deben identificar las posibles transferencias internacionales de datos, y asegurarse de que se hacen bajo las condiciones planteadas por el RGPD.
Documentación e implantación de políticas y procedimientos (adhesión a códigos de conducta o certificación).
Toda la información relativa a las políticas, procedimientos, contratos y cláusulas informativas que la organización desarrolle para dar cumplimiento a las disposiciones del RGPD debería de estar documentada, para facilitar el conocimiento por parte de las partes interesadas y cumplimiento por parte del personal.
Además, el RGPD establece tanto la adhesión a códigos de conducta reconocidos como el sometimiento a un proceso de certificación, como mecanismos válidos para demostrar conformidad con el Reglamento.
Por tanto, todas las organizaciones deberán de hacer un ejercicio de análisis de sus procesos relativos a la protección de datos de carácter personal, para verificar que cumplirán con todos los requisitos del RGPD en el momento en que se inicie su aplicación.