CLAVES DEL NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS

A continuación, les facilitamos un guía de algunos de los apartados más destacados del NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS y que creemos será de su interés y utilidad;

1. LAS 4 W DEL PROYECTO (WHO, WHEN, WHY, WHAT)

“Who and When (Quién y Cuándo)”: El Anteproyecto de Ley Orgánica de Protección de Datos fue impulsado por el Gobierno Central el 23 de junio de 2017, a propuesta del ministro de Justicia; es consecuencia del Reglamento General de Protección de Datos (LA LEY 6637/2016) aprobado por el Parlamento Europeo. qué entró en vigor pasado el 25 de mayo de 2016 y que será de obligado cumplimiento el próximo 25 de mayo de 2018.

“Why (Por qué)”: El Reglamento Europeo es de aplicación directa en todos los Estados Miembros, y en la propia Exposición de Motivos del Proyecto de Ley Orgánica de Protección de datos se indica que “La adaptación al Reglamento general de protección de datos (LA LEY 6637/2016), que será aplicable a partir del 25 de mayo de 2018, según establece en su artículo 99, y que requiere, en suma, la elaboración de una nueva ley orgánica que sustituya el actual marco jurídico que regula la Protección de Datos.

“What (Qué)”: El Proyecto de Ley Orgánica de Protección de Datos está compuesto por una Exposición de Motivos, 9 títulos, 17 disposiciones adicionales, 6 disposiciones transitorias, 5 disposiciones finales, una única disposición derogatoria y un total de 78 artículos.

2. NOVEDADES RESPECTO A LA ANTERIOR LOPD (LA LEY 4633/1999)

Existen nuevos aspectos respecto de la LOPD (LA LEY 4633/1999) de 1999 no estaban contemplados, y que el nuevo Reglamento de Protección de Datos contempla:

  • El tratamiento de los datos de personas fallecidas (Art.3).
  • Las Denuncias, esto es, el tratamiento de datos en el sistema interno de denuncias en una empresa (Art.24).
  • Las medidas de Responsabilidad Activa (las empresas deberán ser PROACTIVAS y dejar de ser REACTIVAS). (Arts. 28-32).
  • El derecho de supresión y el derecho a la potabilidad de los datos y (Arts. 15 y 17).
  • La nueva figura del Delegado de Protección de Datos, más conocido por sus siglas en inglés: DPO.
  • El tratamiento de las imágenes con fines de videovigilancia.

Y, por supuesto, todas las cuestiones que incorpora el RGPD y que suponen un cambio de actitud de una mentalidad reactiva a una mentalidad proactiva.

3. EL CONSENTIMIENTO”: NOVEDADES QUE RECOGE EL NUEVO RGDP

No hay duda alguna de que el consentimiento es uno de los ejes principales de la normativa en materia de protección de datos, el Proyecto de Ley Orgánica de Protección de datos sigue la línea de lo dispuesto por el Reglamento Europeo y exige que el consentimiento (Art.6) sea mediante una “clara acción afirmativa“. Con esto surge una de las principales diferencias respecto a la LOPD (LA LEY 4633/1999) en su artículo 99 y que, en determinados casos, permitía el consentimiento tácito.

El artículo 6 en su apartado segundo dice así:

“2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para cada una de ellas”

Llama la atención el hecho de que en el Reglamento de desarrollo de la LOPD (LA LEY 4633/1999) sí que se hacía referencia a la inclusión de una casilla, ahora en la LOPD (LA LEY 6637/2016) se ha suprimido la referencia explícita a la inclusión de una casilla y se ha sustituido por “será preciso que conste de manera específica e inequívoca“.

4. INFORMACIÓN Y TRANSPARENCIA

En la anterior LOPD (LA LEY 4633/1999) de 1999 “el derecho-deber” (puesto que siempre tiene una doble vertiente: derecho del interesado a obtener información sobre el tratamiento de sus datos y deber del responsable del fichero a informar sobre el tratamiento de datos de carácter personal que realiza) a la información es uno de los principios, esto es obligaciones, para el responsable del fichero. El Nuevo Reglamento Europeo obliga a este deber de información, incluyendo una mayor información hacia el interesado y que al final, conlleva un mayor control para el mismo sobre sus datos de carácter personal. En el Nuevo Reglamento Europeo se habla de “Transparencia de la información”.

En concreto, el artículo 11 del Proyecto de Ley establece bajo el título “transparencia e información al afectado”, dice así: “que cuando los datos de carácter personal sean obtenidos del afectado a través de redes de comunicaciones electrónicas o en el marco de la prestación de un servicio, así como en aquellos otros supuestos expresamente establecidos por la ley o cuando así lo autorice la Agencia Española de Protección de Datos“, el responsable del tratamiento podrá cumplir con el deber de información del artículo 19 del Reglamento Europeo siempre y cuando le indique una dirección electrónica u otro medio que permita acceder “de forma sencilla e inmediata” a toda la información restante que exige el Reglamento y le proporcione, al menos, la siguiente información:

  • La identidad del responsable del tratamiento y de su representante, en su caso.
  • La finalidad del tratamiento.
  • El modo en que el afectado podrá ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento Europeo.

En caso de que los datos no hubieran sido obtenidos directamente del titular, el deber de información incluirá, además de los tres ítems mencionados, además de proporcionar una dirección electrónica -o medio equivalente- mediante la que pueda tener acceso sencillo al resto de información que exige el Reglamento.

5. MÁS ALLÁ DE LOS DERECHOS ARCO: PORTABILIDAD Y SUPRESIÓN

 En referencia al derecho del interesado al acceso a sus datos, se introducen algunas cuestiones nuevas:

  • En primer lugar, el Proyecto de Ley (artículo 13) no fija un plazo de respuesta para atender el derecho de acceso, a diferencia de los 30 días que establece la LOPD (LA LEY 4633/1999).
  • En segundo lugar, en el Proyecto de Ley, a diferencia de su predecesora LOPD, se menciona como sistema de acceso a los datos de carácter personal objeto de solicitud un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad.
  • Por último, respecto a la posibilidad de denegar el acceso o de cobrar un canon por los gastos administrativos que le supone a un responsable del fichero un ejercicio abusivo del derecho de acceso, el Proyecto de Ley considera que el responsable del fichero podrá adoptar una de las dos medidas antedichas cuando el interesado ejerza el derecho de acceso en intervalos inferiores a seis meses, siempre y cuando no exista una causa que lo legitime, mientras que, en la LOPD (LA LEY 4633/1999) del 99 dicho plazo estaba establecido en doce meses.

Los dos nuevos derechos son: el derecho de supresión (DERECHO AL OLVIDO) y el derecho a la potabilidad de los datos.

El DERECHO AL OLVIDO, ni el Reglamento Europeo ni LOPD (LA LEY 6637/2016) establece un plazo de respuesta para atender el derecho al olvido. De hecho, la única referencia que hace el Reglamento Europeo es que la entidad ante quien se solicite responderá “sin dilación indebida”.

Por último, el derecho a la portabilidad de los datos -creado por el Reglamento Europeo de Protección de datos- se limita a incorporar una referencia al artículo 20 del Reglamento dedicado íntegramente al contenido y requisitos de este derecho.

6. EL DELEGADO DE PROTECCIÓN DE DATOS (DPO)

El nuevo Reglamento Europeo introduce la figura del DPO el cual abarca y supera las competencias y responsabilidades del “Responsable de seguridad”. Algunas de las funciones y tareas del DPO:

    • El artículo 34 incorpora un listado los sujetos obligados a designar un DPO como, por ejemplo: los colegios profesionales, Universidades, las entidades aseguradoras, etc. o que la actividad principal del RESPONSABLE/ENCARGADO DEL TRATAMIENTO consistan en tratamientos de datos que, por su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
    • Se indica también que, tanto el nombramiento como el cese del DPO deberá ser notificado a la AEPD en un plazo de diez días. Por su parte, la AEPD mantendrá un listado actualizado de los DPO que se podrá consultar vía electrónica.
7. SANCIONES

La LOPD (LA LEY 4633/1999) del 99 se limitaba a los responsables del fichero y encargados del tratamiento, mientras que el Proyecto de Ley, en su artículo 70, añade, además, a los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea, a las entidades de certificación y a las entidades acreditadas de supervisión de los códigos de conducta. Y deja, expresamente, fuera del régimen sancionador al DPO.

Por lo que se refiere a las infracciones, mantiene tanto la distinción de la LOPD (LA LEY 4633/1999) entre infracciones leves, graves y muy graves como los plazos de prescripción de las mismas en uno, dos y tres años y hace una enumeración de cada una de las tipologías.

d) La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.

e) El tratamiento de datos personales de las categorías a las que se refiere el artículo 9 del Reglamento (UE) 2016/679 (LA LEY 6812/2007), sin que concurra alguna de las circunstancias previstas en dicho precepto y en el artículo 9 de esta ley orgánica.

h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos de carácter personal conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 (LA LEY 6812/2007) y 12 de esta ley orgánica.

k) El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).

n) El incumplimiento de la obligación de bloqueo de los datos establecida en el artículo 32 de esta ley orgánica cuando la misma sea exigible.

De las infracciones contempladas en el artículo 73 y consideradas “graves”, destacamos las siguientes:

e) La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, sólo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento, conforme a lo exigido por el artículo 25.2 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).

j) La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el Capítulo IV del Reglamento (UE) 2016/679 (LA LEY 6812/2007) .

n) No disponer del registro de actividades de tratamiento establecido en el artículo 30 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).

t) El tratamiento de datos de carácter personal sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.

v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 (LA LEY 6812/2007) y el artículo 34 de esta ley orgánica.

De las consideradas como infracciones leves, contempladas en el artículo 74, destacamos las siguientes:

a) El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).

g) El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible conforme al artículo 3 de esta ley orgánica.

l) Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida por el artículo 30 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).

m) La notificación incompleta o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 33 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).

p) No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 (LA LEY 6812/2007) y el artículo 34 de esta ley orgánica.

El Proyecto de Ley se remite a lo dispuesto en materia de sanciones en el Reglamento Europeo y en su artículo 76 incorpora algunos criterios de graduación de las sanciones entre los que cabe destacar:

a) El carácter continuado de la infracción, la vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal y los beneficios obtenidos como consecuencia de la comisión de la infracción, la posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción y la existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.

Por su parte, el apartado tercero del artículo 76 matiza que “Será posible, complementaria o alternativamente, la adopción, cuando proceda, de las restantes medidas correctivas a las que se refiere el artículo 83.2 del Reglamento (UE) 2016/679 (LA LEY 6812/2007)

Por último, se indica que, cuando la AEPD haya impuesto a una persona jurídica una sanción que suponga una multa superior a un millón de euros los datos del infractor y la infracción cometida serán publicados en el BOE.

Help LOPD

Desde EMC ponemos a su disposición todas las herramientas necesarias para cumplir usted pueda cumplir todas las obligaciones que conllevará la entrada en vigor del NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS y que entrará en vigor el próximo día 25 de mayo de 2018;

      •  Auditorias LOPD – RGPD.
      •  Cursos de Formación en materia de LOPD – RGPD – LSSICE.
      •  Contratación de los Servicios del Delegado para la Protección de Datos o DPO.
      •  KIT de SERVICIOS para la adaptación a LOPD – RGPD.

Si su despacho profesional aún no está adaptado al nuevo RGPD y/o no dispone de alguna de estas soluciones, no lo dude, solicítenos información, y EMC le asesorará durante todo el proceso de adaptación, siempre ofreciéndole las soluciones mejor se adapten a sus necesidades.

Para solicitar más información sobre los Cursos de formación de LOPD – RGPD – LSSICE accediendo mediante este enlace: https://www.emcformacion.com/curso-lopd o si bien desea información sobre Auditorias LOPD, DPO o del KIT de SERVICIOS LOPD, puede acceder desde aqui: https://www.emcsj.com 

Tambien si lo prefiere puede utilizar el siguiente formulario de contacto y nos pondremos en contacto con usted a la mayor brevedad posible  INFORMACIÓN y siempre sin compromiso alguno.

Este sitio web utiliza cookies, tanto propias como de terceros, para recopilar información estadística sobre su navegación y mostrarle publicidad relacionada con sus preferencias, generada a partir de sus pautas de navegación. Si continúa navegando, consideramos que acepta su uso. Más información aquí. más información

Los ajustes de cookies de esta web están configurados para "permitir cookies" y así ofrecerte la mejor experiencia de navegación posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en "Aceptar" estarás dando tu consentimiento a esto.

Cerrar