Ya ha pasado el 25 de mayo de 2018 y con él la entrada en vigencia del nuevo Reglamento General de Protección de Datos en Europa. Mientras se realizan las primeras actuaciones, los diferentes Estados miembros de la UE están adecuando sus normativas internas a la reglamentación europea que, siguiendo sus mismos lineamientos, puede incluir algunas particularidades locales.
En el caso de España, el pasado 10 de noviembre el Consejo de Ministros remitió al Congreso de los Diputados el nuevo proyecto de Ley Orgánica de Protección de Datos. El pasado 14 de diciembre venció el plazo de alegaciones, y entramos en la fase final de su tramitación por el órgano legislativo, que se aprobará previsiblemente este año. Este proyecto clarifica o baja a detalle algunos aspectos del Reglamento.
Las nuevas obligaciones que impone la nueva Ley a las empresas:
- Exclusión del denominado “consentimiento tácito”: al no responder a una comunicación previa de la empresa o entidad responsable del tratamiento.
- Menores: se adelanta a los 13 años la edad en que ya pueden prestar su consentimiento personal para el tratamiento de sus datos.
- Fallecidos: se permitirá que los herederos puedan solicitar el acceso a los datos del finado, así como su oportuna rectificación o supresión, con sujeción, en su caso, a las instrucciones del fallecido. Se prevé la posibilidad de que se puedan incorporar a un registro para su constancia y cumplimiento.
- “categorías especiales de datos” (origen étnico o racial, las opiniones políticas, y religiosas, militancia en sindicatos, datos genéticos, relativos a la salud, la vida sexual y las condenas e infracciones penales): el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de los datos especialmente sensibles. Será necesaria alguna justificación adicional. Por ejemplo, el cumplimiento de obligaciones legales, la protección de intereses vitales del interesado, el tratamiento efectuado por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, y otros.
- Verificable: el consentimiento explícito obtenido debe ser verificable. La entidad que lo ha recogido ha de estar en condiciones de acreditar que la obtención del consentimiento respetó las directrices legales indicadas anteriormente.
- Exclusión de la imputabilidad del responsable: en el caso de que éste haya tomado todas las medidas razonables para la rectificación o supresión de los datos.
- Listas Robinson y sistemas de video-vigilancia: prevé que será lícito el tratamiento de datos de carácter personal para evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas, al igual que los sistemas de video-vigilancia, la función estadística pública y las denuncias internas en el sector privado.
- Delegado de Protección de Datos: podrá ser una persona física o jurídica, cuya designación se debe comunicar a la AEPD (Agencia Española de Protección de Datos), en calidad de máxima autoridad competente en el ámbito nacional. En la norma nacional se tipifican varias infracciones, calificadas como graves, relativas al DPO: el incumplimiento de la obligación de designar un DPO cuando sea exigible su nombramiento, o no cumplimentar la efectiva participación del DPO en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.
- Bloqueo cautelar de datos: incluye la potestad de ordenar el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.
Aunque la nueva ley local y reglamentos no estén en vigencia, es importante tener en cuenta estos cambios para clarificar aspectos de la aplicación del RGPD y la planificación de nuevos servicios digitales. En las AAPP se agrega, además, la obligación de cumplir con las medidas relacionadas especificadas en el Esquema Nacional de Seguridad.
En este contexto, ofrecemos diferentes servicios como el de Reputación en Internet realizado en conjunto con Legalitas para pequeños negocios y que incluye tanto estos aspectos de imagen, como adecuaciones legales de Protección de Datos y Comercio Electrónico. Como también soluciones de consultoría integral (legal y de Seguridad de la Información), para organizaciones de mayor tamaño.
Adicionalmente nuestros servicios de hosting y de ciberseguridad en la nube (Cloud Backup) están adaptados para asegurar el cumplimiento de estas regulaciones, como se puede ver en esta descripción de Acens, nuestra compañía de servicios cloud.
¡Hasta pronto!
Víctor