SERVILEGAL ABOGADOS

El nuevo Reglamento de Protección de datos 679.2016 ha entrado en vigor

Reglamento general de protección de datos de la UE. Análisis del Reglamento UE 2016/679, de 27 de abril de 2016.

 

  • Orden: Laboral
  •  Fecha última revisión: 12/01/2017
  •  Origen: Iberley

PLANTEAMIENTO

El Reglamento UE 2016/679, de 27 de abril de 2016 será aplicable a partir del 25 de mayo de 2018 afectando al conjunto de derechos a través de los cuales la actual Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal garantiza a las personas el poder de control sobre sus datos personales.

Análisis del contenido y novedades del Reglamento UE 2016/679, de 27 de abril de 2016

ANÁLISIS

El vigente Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, junto con la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, configurarán desde el 25 de mayo de 2018 el nuevo marco europeo de protección de datos.

El nuevo Reglamento nace con un triple objeto:

– establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.

– proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

– pretende que la libre circulación de los datos personales en la Unión no pueda ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

En relación con su ámbito de aplicación, se establecen dos distinciones:

Ámbito de aplicación material

El Reglamento se aplicará al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. Por el contrario, no se aplica al tratamiento de datos personales:

  • a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
  • b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;
  • c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
  • d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

Ámbito territorial

Como matiza el art. 3 del Reglamento se aplica “al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.” Adquiriendo especial relevancia el punto 3 del citado artículo al matizar la aplicación: “al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.” Es decir, el Reglamento UE 2016/679, de 27 de abril de 2016 será aplicable al tratamiento de datos fuera de la Unión.

Principios rectores

La nueva norma se basa en los siguientes principios desarrollados en su capítulo II

  • Principios relativos al tratamiento. El responsable del tratamiento de los datos será responsable del cumplimiento y capaz de demostrarlo («responsabilidad proactiva»).
  • Licitud del tratamiento. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones especificadas en el apdo. 1, del art. 6.
  • Condiciones para el consentimiento. Cuando el tratamiento se base en el consentimiento se regulan las condiciones y características del mismo. En este apartado aparecen las «Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información»
  • Tratamiento de categorías especiales de datos personales. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física. Esto no será de aplicación cuando concurra una de las circunstancias del apartado 2, art. 9.
  • Tratamiento de datos personales relativos a condenas e infracciones penales. El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados. Solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas.
  • Tratamiento que no requiere identificación. Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el Reglamento.

Fin de los derechos ARCO y llegada de transparencia, información, acceso, rectificación, supresión (derecho al olvido), limitación del tratamiento, portabilidad de datos y oposición.

Los conocidos como derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) son el conjunto de derechos por los que actualmente la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, garantiza a las personas el control sobre sus datos personales. No obstante, con la llegada en 2018 del nuevo Reglamento Europeo, nacerán nuevos derechos superpuestos a los existentes en la LOPD:

  • Derecho de acceso del interesado (Art. 15)
  • Derecho de rectificación (Art. 16)
  • Derecho de supresión («el derecho al olvido») (Art. 17)
  • Derecho a la limitación del tratamiento (Art. 15)
  • Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento (Art. 19)
  • Derecho a la portabilidad de los datos (Art. 20)
  • Derecho de oposición (Art. 21)
  • Derecho a presentar una reclamación ante una autoridad de control (Art. 77)
  • Derecho a la tutela judicial efectiva contra una autoridad de control (Art. 78)
  • Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento (Art. 79)
  • Representación de los interesados (Art. 80)
  • Suspensión de los procedimientos (Art. 81)
    Derecho a indemnización y responsabilidad (Art. 82)

¿Cuáles serán las novedades que incorporará el Reglamento?

La extensa regulación del Reglamento presentará novedades en aspectos como:

– Los ya citados principios aplicables al tratamiento de datos y Condiciones para el consentimiento.

– La regulación del denominado «derecho al olvido» o  derecho de supresión de los datos personales. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias citada en el Art. 17.

– Derecho a la portabilidad de los datos. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando se den las circunstancias citadas en el Art. 20.

– Responsabilidad del responsable del tratamiento. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

– Registro de las actividades de tratamiento. Cada responsable o encargado del tratamiento de datos (o su representante) realizarán un registro que deberá contener toda la información indicada en el art. 30

– Notificación de una violación de la seguridad de los datos personales a la autoridad de control. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

– Evaluación de impacto relativa a la protección de datos. El responsable del tratamiento de los datos realizará (en particular si utiliza nuevas tecnologías), antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

– Consulta previa a la autoridad de control en caso de identificarse riesgos en el tratamiento.  El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del artículo 35 muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.

– Regulación de las transferencias internacionales de datos. Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado (arts. 45-47).

– Cooperación entre la autoridad de control principal y las demás autoridades de control interesadas (arts. 60 a 67).

Una nueva figura: el Delegado de protección de datos

Los arts. 37-39, crean una nueva figura, el Delegado de protección de datos, de esta forma a partir de 2018, El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

  • a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  • b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  • c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Este delegado tendrá como mínimo las siguientes funciones:

  • a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  • b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  • c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
  • d) cooperar con la autoridad de control;
  • e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

BASE JURÍDICA

– Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

– Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.

– Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

 

El reglamento europeo de protección de datos, guía para entenderlo fácilmente

POR MARLEN ESTÉVEZ Y ROBERTO MUÑOZ – KING & WOOD MALLESONS

Actualizado: 02/11/2016

La norma entró en vigor el pasado 25 de mayo de 2016, aunque su exigibilidad se ha postergado expresamente dos años, hasta el próximo 25 de mayo de 2018.

Recientemente ha entrado en vigor el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (el «Reglamento»).

El Reglamento, que deroga la anterior Directiva de 1995 que se había quedado obsoleta, impone un nuevo marco normativo al conjunto de países europeos, otorgando un mayor grado de control a los ciudadanos sobre su información privada e imponiendo cambios radicales para las empresas, que deben empezar a adaptar sus protocolos y estructuras a la nueva regulación.

Ámbito de aplicación

El nuevo Reglamento ha ampliado notablemente su ámbito de aplicación territorial. No se restringe únicamente al espacio europeo, sino que es igualmente obligatorio para las empresas responsables o encargadas del tratamiento de datos no establecidas en la Unión Europea, siempre que ofrezcan bienes o servicios a ciudadanos que sí sean residentes o controlen el comportamiento de éstos en dicho territorio.

Consentimiento del interesado

Es imprescindible contar con el consentimiento de la persona física, mediante un acto afirmativo claro, que refleje una manifestación de voluntad libre, específica, informada e inequívoca de aceptar el tratamiento de datos de carácter personal que le conciernen, no permitiéndose el consentimiento tácito.

Este consentimiento se puede obtener si se dispone de una declaración por escrito (incluyendo medios electrónicos), marcando una casilla en un sitio web o con una declaración verbal. El silencio, la existencia de casillas ya marcadas o la inacción no constituyen un consentimiento.

En todo caso, el responsable del tratamiento de datos debe ser capaz de demostrar que, en efecto, el interesado ha prestado su consentimiento.

El Delegado de Protección de Datos

En determinadas ocasiones se impone la designación de un DPO (por sus siglas en inglés), quien deberá supervisar, informar y asesorar sobre el cumplimiento de la normativa aplicable.

El DPO deberá estar suficientemente cualificado y se le deberá facilitar el ejercicio de sus funciones, proporcionándole los recursos necesarios, sin que pueda ser destituido o sancionado por el mero cumplimiento de las mismas.

En cuanto al perfil del DPO, el Reglamento únicamente señala que debe tener formación adecuada, por lo que se deja en manos de la empresa el encontrar a la persona idónea.

Ventanilla única

Las empresas responsables del tratamiento de datos establecidas o con influencia en varias jurisdicciones podrán tratar únicamente con la autoridad de protección de datos de su establecimiento principal (por ejemplo, en el caso de España, la AEPD), que actuará como única interlocutora y cooperará con el resto de autoridades interesadas.

Se reduce además la burocracia, pues ya no va a ser obligatorio para las empresas inscribir sus ficheros, desapareciendo por tanto la Subdirección general de registro de ficheros.

Derecho al olvido y la portabilidad de datos

Se recoge expresamente la posibilidad de que se ejerza el derecho al olvido, ya reconocido por la jurisprudencia del Tribunal de Justicia de la Unión Europea. Los ciudadanos pueden solicitar a las empresas que sus datos personales sean suprimidos cuando -entre otros casos- estos ya no sean necesarios para la finalidad por la que fueron recogidos, se haya retirado el consentimiento o aquellos se hayan tratado de forma ilícita.

El interesado también puede solicitar la recuperación de sus datos, siempre que su tratamiento hubiera sido automatizado, para su posterior transmisión a otra entidad.

Violaciones de seguridad

Las empresas deberán notificar a la autoridad de protección de datos correspondiente cualquier violación en un máximo de 72 horas desde que hubieran tenido constancia de la misma, siempre que constituya un riesgo para los derechos y libertades de los ciudadanos, en cuyo caso deberán comunicarla igualmente al afectado.

Transferencia internacional de datos

Los flujos transfronterizos de datos no podrán en ningún caso implicar un menoscabo del nivel de protección.

No será necesaria la autorización previa para exportar datos a terceros países u organizaciones internacionales si se realizan sirviéndose de cláusulas tipo aprobadas por la Comisión Europea.

Consejo Europeo de Protección de Datos

Comprende la creación de un Consejo Europeo de Protección de Datos, que estará formado por los representantes de cada una de las 28 autoridades de control independientes y tendrá la capacidad de adoptar decisiones jurídicamente vinculantes.

Responsabilidad proactiva

Las entidades que traten datos deberán poder acreditar que éstos han sido (i) tratados de manera lícita, leal y transparente, (ii) recogidos con arreglo a fines determinados, explícitos y legítimos, conforme a los cuales serán tratados, (iii) recopilados de forma adecuada, pertinente y limitada a lo necesario, (iv) actualizados en caso de ser necesario, (v) mantenidos durante el tiempo estrictamente preciso, y (vi) tramitados de tal forma que se garantice su seguridad.

Sanciones

Se prevé la imposición de sanciones administrativas, que deberán imponer las autoridades de protección de datos nacionales, y cuyo importe puede llegar a alcanzar los 20.000.000 euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, en el caso de infracciones muy graves.

Asimismo, se incluye un régimen sancionador completo, que detalla las agravantes y las atenuantes.

Entrada en vigor

El Reglamento entró en vigor el pasado 25 de mayo de 2016 tras un largo y complejo proceso legislativo iniciado en 2012 y tiene como principal efecto ser de directa aplicación en toda Europa sin necesidad de incorporación por los Estados miembros a su ordenamiento interno. No obstante, su exigibilidad se ha postergado expresamente 2 años, hasta el próximo 25 de mayo de 2018.

Durante este período, en el que se mantendrá vigente la normativa actualmente en vigor, los Estados, las Instituciones Europeas y las Organizaciones deberán llevar a cabo todas las actuaciones necesarias para adaptarse al nuevo marco normativo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *