NUEVO REGLAMENTO EUROPEO DE PROTECCION DE DATOS DE CARACTER PERSONAL
Nos place comunicarles de algunas novedades importantes y nuevas obligaciones, de acuerdo con la reciente normativa del Reglamento Europeo de Protección de Datos, que sustituye a la Ley Orgánica de Protección de Datos vigente en España desde 1999, y que es objeto de aplicación obligatoria desde el 25 de Mayo del 2018.
Este Reglamento se aplica todas aquellas entidades que traten datos de carácter personal que se encuentren dentro de la Unión Europea.
También se aplicaran a responsables y encargados no establecidos en la UE siempre que traten datos como consecuencia de una oferta de bienes o servicios destinados a ciudadanos de la Unión.
Entre las principales novedades respecto de la anterior normativa, destacamos:
- Destacamos una Responsabilidad proactiva o también llamado Accountability.
Esta responsabilidad activa se refiere a la necesidad de prevención por parte de las organizaciones que manejan datos personales.
Las empresas y entidades deben adoptar medidas que garanticen de manera suficiente que están en condiciones de cumplir con las reglas, derechos y garantías que el Reglamento establece.
- En relación a la obtención del consentimiento:
El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco.
Las empresas deberán revisar la forma en la que obtienen y guardan el consentimiento.
Hasta ahora existían prácticas que se encuadran en el llamado consentimiento tácito y que eran aceptadas con la anterior normativa, pero dejan de serlo con la entrada en vigor del Reglamento y su aplicación.
Para poder considerar que el consentimiento es “incuestionable”, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que apunte al acuerdo del interesado.
La aceptación no puede deducirse del silencio o de la inacción de los ciudadanos.
Se exige que el consentimiento tenga que ser “manifiesto” en determinados casos, como puede ser para autorizar el tratamiento de datos sensibles.
Por tanto, el consentimiento tiene que ser verificable y quienes recopilen datos personales deben poder probar que el afectado les concedió su consentimiento es decir que los ciudadanos deben dar su aceptación expresa para que cualquier compañía pueda procesar y almacenar su información privada.
El silencio ya no podrá considerarse una aceptación implícita. Quien calla no otorga, por lo que si se dejan sin respuesta los correos en los que determinadas empresas piden el consentimiento del usuario, las compañías no podrán usar los datos. Hay excepciones: no es necesario permiso en casos de lucha contra el fraude, obligaciones legales o para proteger intereses vitales, como por ejemplo cuando es necesario para controlar epidemias.
- Asimismo, terminan las autorizaciones genéricas y ambiguas, y los textos farragosos de condiciones de uso. A partir de ahora se exigirán que las cláusulas de privacidad sean claras y comprensibles.
- En cuanto a la edad mínima, los padres deben dar su permiso cuando los usuarios sean menores de 16 años —de 14 años en el caso de España, dado que la ley da margen a los Estados miembros— y las empresas verificar en lo posible que no se saltan la autorización.
- Portabilidad de datos. Abre la puerta a que si quieres cambiar, por ejemplo, tus fotos y vídeos de una red social a otra, no tienes que descargarlos y volver a subirlos en la otra. La transferencia de datos debe hacerse entre ambas redes sociales si es técnicamente operativo. Es una forma de permitir al usuario abandonar una compañía que no le convence y cambiarse a otra más fácilmente.
- Alerta contra el hackeo. En los supuestos más graves, se marca un plazo máximo de 72 horas para informar a la agencia nacional de datos sobre un hackeo, mientras que el cliente deberá ser avisado lo antes posible de que su cuenta ha sido pirateada.
- Derecho al olvido. Los buscadores de Internet como Google ya debían corregir o eliminar resultados sobre un usuario cuando este lo pidiera. Ahora ese derecho a suprimir información privada se extiende a otros servicios de Internet y empresas.
- Dame mi información. El abanico de medidas incluye el derecho de los usuarios a tener acceso a un fichero en formato electrónico con todos los datos privados sobre ti de los que disponga una compañía.
- No solo redes sociales. Cuando se habla de datos, la imagen más habitual que viene a la mente es la de millones de usuarios compartiendo preferencias en Facebook, Instagram o Twitter. Pero se trata de un universo mucho más amplio. Entidades bancarias, aseguradoras, educativas, sanitarias, publicitarias y en general, todas las que ofrezcan servicios en Internet, deben adaptarse a la ley a la hora de tratar los nombres, direcciones, correos electrónicos o números de identificación que almacenan.
- Sanciones multimillonarias. La negligencia de las compañías a la hora de tratar tus datos les saldrá más cara. El reglamento comunitario contempla multas de hasta el 4% de la facturación anual de una compañía para los casos de infracción de la ley más graves.
- El delegado de protección de datos. Cuando el volumen de datos recopilados sea a gran escala o implique información sensible, las empresas y administraciones deberán crear la figura del delegado de protección de datos. Su función será actuar como el enlace con las agencias nacionales, y los usuarios podrán dirigirse a ellos para conocer el tratamiento que se hace de sus datos o presentar reclamaciones.
Si su empresa trata con datos personales y desea adaptarse a la normativa de Protección de Datos, o simplemente revisar su adecuación a las nuevas obligaciones contenidas en el Reglamento, no dude en ponerse en contacto con nuestro despacho, concretamente con Dña. Thais Guilera Baixeras, que les pondrá en contacto con nuestro colaborador en dicha materia.
Para cualquier consulta o aclaración referente a todo lo expuesto, igualmente no duden en ponerse en contacto con este despacho.