La UE blinda los datos personales con sanciones millonarias: claves de la ley que entra en vigor el 25 de mayo

La mayor regulación de la protección de datos de los últimos 20 años en la UE empieza a aplicarse este 25 de mayo, en un momento clave del desarrollo de nuevas tecnologías basadas en el tratamiento y el aprovechamiento de datos personales de los ciudadanos. La nueva normativa es única para los 28 países de la Unión Europea y eleva a la máxima potencia la protección de la privacidad y los datos de los ciudadanos, en un momento crítico, con casos muy recientes de filtraciones masivas de datos personales como los reconocidos por Facebook y Twitter.

Además, el denominado Reglamento General de Protección de Datos (RGPD) también contiene nuevas obligaciones para todas las empresas y organizaciones que usen datos de empleados, clientes o proveedores, con independencia de su tamaño y del volumen de datos que maneje. Si las entidades no lo cumplen, se pueden enfrentar a un proceso sancionador que puede incluir multas de hasta 20 millones de euros para las infracciones más graves.

Entre los derechos que podrán exigir los ciudadanos destacan el derecho al olvido; el derecho a reclamar información clara y sencilla sobre qué datos tiene una empresa u organización, para qué los usa y quién los maneja; el derecho a la portabilidad de datos de un proveedor de servicios a otro, o el derecho a exigir que se revisen las decisiones automatizadas tomadas con sus datos.

Las nuevas tecnologías -como la comunicación sin hilos, la expansión de Internet de las Cosas, la creciente aplicación de cruces masivos de datos o big data, el procesamiento de datos sensibles, el tratamiento de datos biométricos (huellas digitales o reconocimiento facial) o la geolocalización en redes sociales- están generando nuevos riesgos. Por eso, la UE asegura que con esta normativa -compleja y muy amplia- pretende cubrir todos esos riesgos sin coartar su desarrollo.

La nueva norma es tecnológicamente neutra, es decir: protege los datos personales independientemente de la tecnología utilizada. Así, se aplica tanto cuando se usa un sistema informático complejo como archivos en papel.

Sanciones de hasta el 4% de la facturación global

Las obligaciones fijadas en el RGPD afectan a todas las empresas, organizaciones o instituciones con sede en la UE que recaben y procesen datos de carácter personal, desde un ultramarinos con lista de proveedores hasta una multinacional con miles de registros de clientes, empleados y contactos.

Al contrario de lo que ocurría hasta ahora, también se aplica a aquellas entidades localizadas fuera de los Veintiocho que ofrezcan bienes y servicios a ciudadanos europeos y manejen sus datos personales.

Además, las entidades afectadas por el reglamento deberán adoptar medidas de seguridad adicionales para garantizar la privacidad de los datos que gestionen, sobre todo, si tratan datos sensibles, para los que se puede exigir el encriptado.

También tendrán la obligación de notificar cualquier violación o hackeo de datos personales que sufran en un plazo máximo de 72 horas tras haber tenido constancia de ella.

Si las empresas no cumplen la nueva normativa, los particulares y las organizaciones de protección de datos podrán denunciarlas ante las autoridades de control -en España, la Agencia Española de Protección de Datos-, que en las infracciones más graves podrán imponer sanciones de hasta 20 millones de euros o el equivalente al 4% de la facturación anual global de la empresa.

En casos más leves, la autoridad puede advertir, amonestar o imponer medidas correctivas adicionales, como ordenar el cese del tratamiento de datos personales.

Obligaciones de las empresas para proteger derechos individuales

  • A partir de ahora, una empresa solo podrá tratar datos personales en determinadas condiciones: ese procesamiento debe ser “justo y transparente”, tener un fin especificado y legítimo, y limitarse a recopilar exclusivamente los datos necesarios para cumplir dicho fin. Tendrá que borrar los datos cuando ya no los necesite.
  • La recogida de datos tiene que cumplir al menos una de las siguientes bases jurídicas:

1. el consentimiento de la persona a quien pertenecen los datos

2. una obligación contractual entre la entidad y el interesado (por ejemplo, cuando tu empresa de telefonía incluye en contrato la petición de dirección postal para poder enviarte las facturas)

3. el cumplimiento de una obligación legal (por ejemplo, los datos de registro censal)

4. la protección de los intereses vitales del interesado (por ejemplo, cuando el centro de salud te solicita tus antecedentes de enfermedades familiares)

5. la realización de una misión de interés público (por ejemplo, cuando la Agencia Tributaria recopila tus datos fiscales para el IRPF)

6. la satisfacción de los intereses legítimos de una empresa (por ejemplo, cuando usan los datos para enviarte sus promociones o productos), aunque en este último caso, “solo tras haber comprobado que los derechos y libertades fundamentales de la persona cuyos datos estén tratando no se vean afectados significativamente”. Según el RGPD, si esos derechos individuales se ven perjudicados, la empresa no podrá tratar los datos de esa persona.

  • El reglamento obliga a las entidades a obtener un consentimiento claro, específico e inequívoco de las personas para recopilar y tratar sus datos personales. Ese consentimiento debe recogerse en una solicitud específica mediante un acto afirmativo, como el marcado de una casilla o la firma de un formulario.
  • Cuando alguien consiente el tratamiento de sus datos personales, la empresa o entidad sólo podrá tratarlos para los fines para los que se haya dado el consentimiento.
  • Con el derecho al olvido, una persona podrá retirar su consentimiento en cualquier momento. Si sus datos ya no son necesarios o han sido tratados ilícitamente, puede pedir la supresión de sus datos. Por ejemplo, cuando al escribir el nombre de una persona en un motor de búsqueda de internet, los resultados incluyen un antiguo artículo de prensa sobre una deuda que hace tiempo que pagó, el motor de búsqueda está obligado a eliminar ese enlace si no se trata de un personaje público y el interés personal por eliminar el artículo prevalece sobre el interés público general de acceder a la información.
  • Las entidades deberán informar siempre a un particular del fin para el que le piden sus datos, concederle acceso a ellos y copias gratuitas, y permitirle su modificación siempre que lo pida.
  • Una entidad no podrá utilizar los datos recogidos con un propósito para cualquier otro fin. Por ejemplo, si pide el email a un cliente para enviarle promociones, no podrá utilizarlo para ninguna otra cosa, ni tampoco podrá vender esos datos a un tercero.
  • Una persona también puede oponerse en cualquier momento al tratamiento de sus datos personales para un determinado uso, a pesar de que una empresa los trate con un interés legítimo o para realizar una misión en interés público. La petición de un particular no tendrá que cumplirse solo cuando el interés legítimo de la entidad sea más importante que el interés del particular. Mientras las autoridades determinan si uno prevale sobre otro, la persona puede pedir que se limite el tratamiento de sus datos.
  • En el caso de la mercadotecnia directa –como, por ejemplo, las llamadas promocionales o para captación de clientes de las compañías telefónicas-, la empresa siempre está obligada a dejar de tratar los datos personales a petición del interesado.
  • Si una empresa recibe una solicitud de una persona que quiere ejercer esos derechos, la entidad tiene que responder en el plazo de un mes, aunque puede alargarse hasta dos meses para solicitudes complejas, siempre que se informe de la prórroga al interesado. Si se rechaza una solicitud, deberá informarse a la persona sobre los motivos del rechazo y su derecho a presentar una reclamación ante la autoridad de protección de datos en cada país, en España, la Agencia Española de Protección de Datos.
  • Las personas tienen derecho a que una entidad no tome una decisión que les afecta únicamente mediante un tratamiento automatizado. Las empresas, organizaciones e instituciones deben informar al interesado sobre las decisiones automatizadas, garantizar su derecho a impugnar una decisión automatizada y a que una persona la revise y le informe de los motivos de la decisión definitiva. Por ejemplo, si un banco automatiza su decisión sobre la concesión de un préstamo a una persona, ese cliente debe ser informado de la decisión automatizada y tener la oportunidad de impugnarla y de solicitar la intervención humana.

Obligaciones de las empresas en función de los riesgos que asuma

El nuevo reglamento comunitario elimina trámites burocráticos para las empresas, ya que elimina, por ejemplo, la obligación de registrar las bases de datos en las diferentes autoridades nacionales de protección de datos.

A cambio, las entidades que traten datos deberán cumplir las siguientes normas:

  • La protección de datos pasa a regirse por el principio de responsabilidad proactiva, es decir: será cada empresa u organización la que decida qué medidas de seguridad pone en marcha para garantizar la protección de los datos que gestiona y la privacidad de las personas a las que pertenecen, y tendrá que ser capaz de demostrar ante las autoridades que esas medidas funcionan y cumplen con el reglamento.
  • Las empresas de más de 250 trabajadores o que traten datos personales sensibles deberán crear un Registro de Actividades de Tratamiento donde indiquen quién es el responsable de los datos y se haga inventario del tipo de datos que poseen, cómo se tratan y cómo se protegen. Para las empresas más pequeñas no es obligatorio, pero sí recomendable.
  • Todos los organismos y entidades públicas (excepto los tribunales) y aquellas organizaciones o empresas que traten datos sensibles, monitoricen o investiguen mercados, analicen riesgos crediticios o solvencia patrimonial o gestionen datos a gran escala deberán nombrar un delegado de protección de datos (DPD). Este nuevo puesto requiere formación especializada y específica en protección de datos. Podrá designarse a una persona de plantilla o externa a la entidad, que se encargará de forma totalmente independiente de supervisar, coordinar y dar a conocer dentro y fuera de la entidad su política de protección de datos. También servirá de enlace con la autoridad de control de protección de datos nacional.

Por ejemplo, si una empresa trata datos personales para dirigir publicidad a través de motores de búsqueda basados en el comportamiento en línea de las personas, será obligatorio que nombre un DPD. Si sólo envía a sus clientes material promocional una vez al año, no necesitará un DPD. Del mismo modo, un médico que recoge datos sobre la salud de sus pacientes, no necesitará un DPD, pero si trata datos genéticos y sanitarios para un hospital, sí se le exigirá.

  • La protección de datos se tendrá en cuenta desde el diseño y la planificación de todas las nuevas formas de tratar los datos personales. De esta forma, el responsable del tratamiento de datos de una organización debe tomar todas las medidas técnicas y organizativas necesarias para proteger los derechos de las personas antes de poner en marcha esos proyectos.
  • Será obligatorio realizar una evaluación de impacto en la protección de datos cuando el tratamiento previsto por una entidad entrañe un alto riesgo para los derechos y libertades de las personas. Según el RGPD, existe un riesgo alto cuando se utilizan mecanismos de tratamiento automatizado, cuando se elaboran perfiles para evaluar personas de forma sistemática y exhaustiva, cuando se observa de forma sistemática a gran escala una zona de acceso público (como los circuitos cerrados de televisión) y cuando se gestionan a gran escala datos sensibles (como los datos sanitarios). El objetivo de esta evaluación es identificar los posibles riesgos para los derechos y libertades personales antes de iniciar el tratamiento de datos personales.

Fuente: http://www.rtve.es/noticias/20180515/ue-blinda-datos-personales-sanciones-millonarias-claves-ley-entra-vigor-25-mayo/1731101.shtml