Entrada en aplicación del Reglamento de Protección de Datos de la Unión Europea - 25 mayo 2018
El 25 de mayo de 2016 entró en aplicación el Reglamento General de Protección de Datos (RGPD), -Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016- que sustituye a la actual normativa vigente, la Directiva 95/46, dando 2 años, hasta el 25 de mayo de 2018, para adaptarse al mismo.
El periodo de dos años ha tenido como objetivo permitir que los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos se preparen y adapten para el momento de aplicación del Reglamento. De este modo, a partir del 25 de mayo de 2018, hay un único conjunto de normas de protección de datos para todas las empresas que operan en la UE.
Entre las novedades, es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo.
Una de las bases fundamentales para tratar datos personales es el consentimiento que debe ser, con carácter general, sea libre, informado, específico e inequívoco. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos. Debe aplicarse un principio de transparencia e información al interesado, de modo que la información que ha de proporcionarse por escrito sea concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
ÁMBITO DE APLICACIÓN
La norma no se aplica a los datos que trate una persona por motivos exclusivamente personales o en el marco de una actividad doméstica, siempre que no guarden relación con ninguna actividad profesional o comercial.
El Reglamento se aplica como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento. Esas organizaciones deberán nombrar un representante en la Unión Europea.
El Reglamento se aplica al tratamiento de datos personales total o parcialmente automatizado, así como al tratamiento no automatizado, si éste forma parte de un fichero estructurado.
DERECHOS PARA LA PROTECCIÓN DE DATOS PERSONALES
Para ejercer sus derechos, el ciudadano deberá contactar con la empresa u organización que trata sus datos personales, conocido como el responsable del tratamiento. Si la empresa u organización tiene un delegado de protección de datos (DPD) puede dirigirse a dicho DPD con su petición. Estos derechos se aplican en toda la UE, y también cuando se aplican cuando compra productos o servicios de empresas de fuera de la UE que operan en la UE.
PROTECCIÓN ADICIONAL A LOS DATOS DE MENORES
Toda información expresamente dirigida a menores deberá estar adaptada para ser fácilmente accesible, utilizando un lenguaje claro y sencillo.
En la mayoría de los servicios en línea se requiere el consentimiento de los padres o tutores para tratar los datos personales de los menores basándose en el consentimiento hasta una determinada edad. Este es el caso de las redes sociales, así como de las plataformas para la descarga de música y compra de juegos en línea.
El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad es necesario el consentimiento de padres o tutores.
MEDIDAS DE RESPONSABILIDAD ACTIVA
El RGPD describe un principio de responsabilidad proactiva que implica la necesidad de que el responsable del tratamiento de los datos aplique medidas técnicas y organizativas apropiadas con el fin de garantizar y de poder demostrar que el tratamiento es conforme con el Reglamento. Este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
NOTIFICACIÓN DE “VIOLACIONES DE SEGURIDAD DE LOS DATOS”
El RGPD define las violaciones de seguridad de los datos, de una forma muy amplia que incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
En el caso que se produzca una violación de la seguridad de los datos, el responsable tiene una serie de obligaciones, entre las que destaca la obligación de notificar a la autoridad de protección de datos competente sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella. La AEPD estableció en su momento un canal específico para la notificación de las quiebras de seguridad en el ámbito de las comunicaciones electrónicas.
ESTRATEGIA DE SEGURIDAD NACIONAL 2017 Y PROTECCIÓN DE DATOS
La Estrategia de Seguridad Nacional 2017 expone cómo de manera notable, el desarrollo tecnológico está asociado a una mayor exposición a nuevas amenazas, especialmente las asociadas al ciberespacio. La hiperconectividad actual agudiza algunas de las vulnerabilidades del sistema de seguridad y exige una mejor protección de las redes y sistemas, así como de la privacidad y los derechos digitales del ciudadano.
El dedicado a las amenazas y desafíos para la Seguridad Nacional aborda cómo desde un punto de vista tecnológico, debe destacar la transformación digital de la Administración. Este factor agudiza la dependencia de las tecnologías de la información, extiende la posible superficie de ataque y, en consecuencia, los beneficios potenciales derivados para los atacantes, en un entorno donde el derecho a la protección de datos de carácter personal es un requisito esencial en la relación del ciudadano con la Administración por medios electrónicos.
Fuente: Unión Europea, Agencia Europea de Protección de Datos, Departamento de Seguridad Nacional.
Más información en: Agencia Española de Protección de Datos