La 8ª sesión anual abierta de la Agencia Española de Protección de Datos, celebrada el pasado 29 de junio de 2016, se centró especialmente en el nuevo Reglamento General de Protección de Datos (RGPD). También hablaron de la LOPD y sus modificaciones, de la LSSIce, del Privacy Shield, de las colaboraciones de la AEPD con otras administraciones o asociaciones y del Big Data, entre otros temas.
Al principio la AEPD remarco que actualizará su estatuto, creará nuevo material sobre el Reglamento General de Protección de Datos (RGPD) y están trabajando en las medidas a exigir a los titulares. También remarcaron que la AEPD ha introducido en todas las resoluciones sancionadoras el pago fraccionado.
Un resumen de la sesión dividida por temas:
Reglamento General de Protección de Datos (RGPD)
El Reglamento General de Protección de Datos (RGPD) se basa en cuatro ejes:
- Armonización: la AEPD, la Agencia Vasca y la Catalana interpretaran por igual el RGPD.
- Todos los ciudadanos europeos tendrán más control sobre sus datos personales.
- Las empresas, instituciones, asociaciones, administraciones, etc. deben tener un compromiso activo con el nuevo reglamento.
- Hay un sistema reforzado de supervisión.
Importante: todos debemos cumplir y adaptarnos al RGPD, porque el 25 de mayo de 2018 ya deberemos estar adaptados y cumpliendo el Reglamento.
Deberá haber un consentimiento inequívoco por parte de la persona de la cual recabamos datos personales: el consentimiento debe prestarse mediante una declaración o una acción clara afirmativa; ya no servirá el consentimiento tácito (que se supone). En consecuencia, los consentimientos solicitados anteriormente de forma tácita se deben adaptar al RGPD. Además, si en el consentimiento hay varios fines, se deberán consentir todos.
Si existe una oposición al tratamiento de datos personales el Responsable del Fichero deberá probar un interés legítimo superior o, por el contrario, estará obligado a hacer efectiva la oposición.
Se reduce de tres a un mes el plazo general para informar al interesado cuando no se han recabado sus datos personales directamente, excepto en la primera comunicación o/y antes de la cesión de los datos.
Si se tratan datos personales de ciudadanos europeos o de residentes en Europa y se les ofrece productos o servicios, se debe aplicar el RGPD aunque la sede de la empresa o administración no esté dentro de la Unión Europea.
La AEPD considera que el Delegado de Protección de Datos (DPO) deberá ser una figura independiente que tendrá una gran responsabilidad y deberá poseer altos conocimientos en protección de datos, además de autonomía y alta capacidad para actuar. En administraciones y cuando se traten datos a gran escala (aún no queda claro el concepto de “a gran escala”) será obligatorio disponer de un DPO; en otros casos es recomendable.
El Reglamento especificará un contenido mínimo para los contratos entre el Encargado de Tratamiento y el Responsable del Fichero. Habrá modelos orientativos. El Encargado de Tratamiento deberá ser capaz de cumplir con las obligaciones establecidas en el RGPD.
Se añade un nuevo dato especialmente protegido: genéticos y biométricos, porque identifican inequívocamente a una persona.
El derecho al olvido es la manifestación, en internet, de los derechos de cancelación y oposición. Primero se deberá pedir al responsable antes que al servicio de búsqueda; si no se tramita en ese orden será inadmitido.
Nuevos derechos para los interesados: la limitación de tratamiento y derecho a la portabilidad.
Cambio total de enfoque del RGPD ante la LOPD: los Responsables y Encargados deberán demostrar que están cumpliendo el Reglamento, no bastará con “no incumplir”.
Siempre se deberán notificar a las Autoridad Europeas las violaciones de seguridad (salvo excepciones). Si las violaciones de seguridad comportan un alto riesgo para los derechos y libertades de los afectados, también se les deberá notificar a estos.
El análisis de riesgos será fundamental porque no hay una lista cerrada de medidas de seguridad.
Con el RGPD la seguridad y confidencialidad no es solo una obligación, también pasa a ser un derecho y principio esencial.
Ley Orgánica de Protección de Datos de carácter personal (LOPD)
La Ley Orgánica de Protección de Datos de carácter personal (LOPD) no se derogará, será modificada igual que el estatuto de la AEPD, para adaptarse al nuevo Reglamento.
Se deben seguir notificando ficheros a la AEPD hasta el 28 de mayo de 2018; a partir de esa fecha ya no será obligatorio notificarlos.
Videovigilancia: si se colocan cámaras falsas no se captan imágenes; por lo tanto no hay tratamiento de datos y no entra en el ámbito de la LOPD.
Privacy Shield
Des de enero de 2016 hay un principio de acuerdo para la transferencia de datos de carácter personal entre Europa y Estados Unidos, para sustituir el derogado Safe Harbor: la nueva regulación se llama “Privacy Shield”. Pero, a raíz del análisis del Artículo 29, la Comisión Europea ha tenido que negociar modificaciones con EEUU y se deben mejorar determinadas carencias antes de su aprobación y adopción.