Nuevo Reglamento Protección de datos

Nuevo Reglamento Protección de datos

Nuevo Reglamento Protección de datos

Nuevo Reglamento Protección de datos, novedades de la Agencia. Ayer, día 29 de Mayo de 2016, tuvo lugar la 8 reunión anual de la Agencia Española de Protección de datos, siendo el Nuevo Reglamento Europeo, sin duda la piedra sobre la que giró todo el evento.

Primero hay que recordar la eficacia de este Reglamento Europeo, que entró en vigor el 25 de mayo de este año, pero que no comenzará a aplicarse hasta el mismo día de 2018. Al tratarse de una norma europea con nivel reglamentario, no requiere de transposición en la normativa interna del estado para que sea aplicable y eficaz. Sin embargo, esta norma va a requerir la adaptación de la normativa nacional que no recoja todos los supuestos expuestos ahora a nivel europeo.

Por esto, se abre ahora un plazo de dos años en los que la propia Agencia ha avisado, que será importante adaptar todos los ficheros, medidas y documentos para que se cumplan poco a poco con las medidas expresadas, para que una vez en mayo de 2018 cuando entre en vigor, todos estos extremos estén controlados y actualizados.

Si algo se dejó en claro en dicha reunión, es que el reglamento aunque sea de aplicación en el 2018, se ha de ir aplicando poco a poco en las empresas, responsables y encargados del tratamiento para ir adaptándolas a una nueva realidad.

Dentro de los principales puntos que van a requerir una actualización antes de la entrada total en vigor de este reglamento, podemos encontrar:

  1. Consentimiento

El consentimiento tácito, que siempre ha sido el consentimiento por defecto, ha sido totalmente “derogado” en el nuevo reglamento. La nueva norma introduce que para prestar consentimiento, se va a requerir una manifestación inequívoca y una clara acción afirmativa. Esta acción afirmativa va a invalidar fórmulas habituales que no daban opción a la acción a las personas, obligando a prestar un consentimiento claro, con una declaración independiente y que sea inequívoco. Un ejemplo de estas prácticas son las casillas premarcadas que perderán toda eficacia una vez entre en juego el Reglamento.

Por ello la Agencia esta aconsejando que las organizaciones que usen el consentimiento tácito como base para sus tratamientos comiencen a revisar los consentimientos antiguos, como a proceder a utilizar mecanismos acordes con la nueva legislación.

  1. Información

La información ofrecida por las empresas también va a sufrir cambios con el nuevo Reglamento. Esta información PREVIA al tratamiento de datos va a poder ser aportada por las empresas sin ningún coste excesivo, utilizando para ello sus páginas web o aprovechando los canales de comunicación habituales que mantengan con sus clientes.

Igualmente, numerosas empresas deberán de adaptar sus políticas informativas a los nuevos requisitos del Reglamento. Sin embargo este extremo deberá ser desarrollado por la Agencia, ya que aún hay muchos asuntos que ha de ser concretados y definidos por la autoridad española.

  1. Evaluaciones de impacto sobre la protección de datos

Otro de los nuevos puntos expuestos en el reglamento, y con mucha importancia en la reunión, son las evaluaciones de impacto. Estas Evaluaciones de Impacto sobre la protección de datos, van a ser obligatorias en determinados tratamientos de datos, van a tener carácter previo y tendrán como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos. La obligatoriedad para realizar estas evaluaciones, será para aquellos tratamientos con un alto riesgo para los interesados, tales como:

Evaluación sistemática y exhaustiva de datos de la personalidad de una persona física o analizar sus circunstancias personales o destinada a analizar o a predecir, en particular, su situación

Tratamiento a gran escala de información de datos sensibles para decisiones automatizadas.

Seguimiento de zonas de acceso público.

Tratamiento de datos a gran escala relativos a niños, o de datos genéticos o biométricos.

  1. Certificación

De manera novedosa, el Reglamento aporta una nueva importancia a  los esquemas de certificación. Éstas, pueden ser otorgadas por las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas.

En el caso de optar por las entidades, esta acreditación puede ser dada por las propias Autoridades o a través de entidades de acreditación previstas en la normativa europea sobre normalización y certificación.

En este punto la Agencia, ha destacar que sería recomendable encomendar la certificación a entidades especializadas debidamente acreditadas y dejar que se ocupe de la acreditación de éstas la Entidad Nacional de Acreditación (ENAC), contando para ello con la participación de la Agencia.

  1. Delegados de protección de datos. Certificación

Otro de los puntos clave de este reglamento y que más revuelo ha causado, ha sido la figura del delegado de protección de datos. Las funciones de esta figura parecen claras, haciendo de nexo de unión entre los responsables y/o encargados con la Agencia y los usuarios. Con respecto a su nombramiento, la norma, requiere que sean nombrados en función de sus cualificaciones profesionales, en especial su conocimiento en materia de protección de datos, y su capacidad para el desempeño de sus funciones. Estas cualificaciones no están recogidas en la norma, por lo que estas aptitudes y conocimientos, deberán realizarse no tanto en función de criterios externos, sino como de las necesidades de los tratamientos concretos que cada organización lleve a cabo.

Por parte de la Agencia, no se ha considerado la necesidad de establecer un sistema de certificación de Delegados de Protección de Datos que opere como requisito para el acceso a la profesión.

Sin embargo, la Agencia por su parte, está interesada en valorar la promoción de entidades de certificación de profesionales. Estas acreditaciones, sería llevadas a cabo por la Entidad Nacional de Acreditación (ENAC).

  1. Relación entre responsables y encargados

Uno de los puntos críticos, es la relación de las figuras de responsables y encargados. Destacar que estas figuras con el Reglamento se asemejan llegando a tener un mismo nivel de responsabilidad en el tratamiento de datos.

El contrato entre estas dos figuras va a tener que incorporar obligaciones de las partes ante la prestación del servicio de encargo que se acuerda, respetando  en todo caso el contenido fijado por el Reglamento.

Durante estos dos años habrá que realizar dos acciones:

Revisar los contratos ya firmados que vayan a prolongarse en el tiempo.

Incluir en las nuevas cláusulas contractuales todos los elementos que el Reglamento considera necesarios.

  1. Necesidad de inscripción de ficheros.

Una de las primeras medidas que se imponían en una adaptación a la LOPD, era la inscripción de los ficheros en la Agencia, sin embargo esta necesidad se elimina con el nuevo Reglamento. Esta necesidad de inscripción daba una seguridad jurídica al ciudadano ya que podía tener acceso de manera fácil y sencilla a todos los datos del responsable del tratamiento para poder dirigirse a él de manera ágil.

Con esta no necesidad de la inscripción de ficheros, el Reglamento ha querido dar más responsabilidad al responsable y encargado, teniendo que tener toda esta información en su poder, fácilmente accesible y que sea sencilla e inteligible. Igualmente esta información se encuentra ampliada en el Reglamento, por lo que deberá de ser revisada paulatinamente.

En palabras de la Agencia: “hasta el 25 de mayo de 2018 se deberán seguir inscribiendo ficheros, a partir de esa fecha ya no será necesario”.

  1. Privacidad por diseño.

En línea con lo anterior, hay que destacar que el nuevo Reglamento opta por la privacidad por diseño, para confeccionar la seguridad del tratamiento de los datos personales.

Esta privacidad por diseño, va a dar un papel primordial al responsable o encargado, ya que igualmente se eliminan las medidas de seguridad por niveles, obligando a optar las medidas de seguridad que se crean necesarias para cada tratamiento de datos.

Esta consideración para la fijación de estas medidas en función del tipo de dato que se esté tratando y del tipo de tratamiento, va a depender única y exclusivamente del análisis y programación del responsable/encargado. Aunque desde la Agencia, si es cierto que en dicha reunión se nos insinuó que existía la posibilidad de que dieran algún tipo de orientación hacia qué tipo de medidas debería aplicarse para determinado tipo de datos o tratamiento.

Este punto es importante, ya que las medidas de seguridad actuales no serán las únicas que podrán ser utilizadas, ampliando aún más el abanico de actuación del responsable/encargado.

Con respecto a todas estas novedades que hemos mencionado, cabe destacar que la Agencia está trabajando en la elaboración de informes, herramientas y material en general para ayudar con la adaptación paulatina de este nuevo Reglamento.

Sin duda esta norma ha introducido un nuevo panorama en la Protección de Datos, dando un papel más importante a los responsables y encargados en cuanto a la seguridad y la protección de los datos. Por otra parte las empresas encargadas de este campo nos obliga a una continua evolución y una actualización tanto de la organización como del contenido.

Sin comentarios

Postear un Comentario

Tu dirección de email no será publicada