Introducción
La protección de datos es un derecho fundamental consagrado por la Constitución Española por el que se garantiza a la persona titular el control sobre sus datos, su uso y su destino, al objeto de preservar su privacidad e intimidad.
¿Qué es un dato de carácter personal?
Dato personal se define en el Reglamento, «como toda información sobre una persona física cuya identidad pueda determinarse, directa o indirectamente, mediante un identificador; en particular, mediante un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultura o social de dicha persona».
Principios
En este sentido, el nuevo marco establecido por el Reglamento (UE) 2016/679 de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD), establece una serie de principios que los responsables y encargados del tratamiento deben observar al tratar datos personales en correlación con los derechos de los interesados (acceso, información, rectificación, oposición, objección, supresión, limitación del tratamiento, y a la portabilidad de sus datos).
Los pilares básicos sobre los que se asienta el derecho a la protección de datos de carácter personal, son:
Los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima (relación precontractual o ejecución de un contrato; obligación legal; intereses vitales; misión realizada en interés público; o, interés legítimo).
El Reglamento fortalece la obligación de información y transparencia con respecto a las personas cuyos datos son procesados. Exige que toda información y comunicación sea concisa, fácilmente accesible y fácil de entender (lenguaje claro y sencillo).
Con este principio se trata de asegurar que los datos recogidos para un fin determinado no sean tratados ulteriormente de manera incompatible con los fines originarios.
Asimismo, los datos serán los limitados a lo necesario en relación con los fines para los que son tratados (minimización de datos), exactos (exactitud), y, si fuera necesario, actualizados, y, no podrán ser conservados durante más tiempo del necesario para los fines del tratamiento (limitación del plazo de conservación).
Los datos personales serán tratados de tal manera que garanticen una seguridad adecuada.
En aplicación del principio de responsabilidad proactiva, los responsables no sólo están obligados a cumplir con las exigencias del Reglamento General de Protección de Datos, sino que, además, deben estar en disposición de acreditar que lo hacen (rendición de cuentas). Este principio constituirá una de las piedras angulares de la nueva normativa.
Medidas de cumplimiento
El RGPD incorpora el principio de responsabilidad proactiva, de manera que las empresas u organizaciones, desde el mismo momento del diseño del tratamiento (privacidad desde el diseño) deberán determinar qué medidas de seguridad -técnicas y organizativas- son adecuadas para proteger los datos y los derechos y libertades de las personas interesadas, con el fin de garantizar que, por defecto (privacidad por defecto) y en todo momento, sólo se traten los datos personales necesarios para cada finalidad específica de tratamiento.
Tales obligaciones se materializan en las siguientes:
Análisis de riesgos
Con carácter previo, debe procederse a la identificación continua de los riesgos que el tratamiento pueda tener para los derechos y libertades de las personas (enfoque basado en el riesgo) al objeto de evaluar el nivel de riesgo al que está sujeta la empresa u organización (tanto públicas como privadas), y, con base al mismo, acometer las medidas técnicas y organizativas adecuadas para garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales. Ello supone un cambio de modelo respecto a la normativa anterior.
El tipo de análisis y la aplicación de las medidas variará en función de las características de cada organización y de los datos que son tratados.
Por otro lado, existen otras obligaciones que se aplicarán o modularán en distintos supuestos, según el nivel de riesgo:
La inscripción de ficheros ante la autoridad de control española (AEPD) se ha sustituido por este nuevo mecanismo que permite identificar, bajo la responsabilidad del responsable o encargado, los tipos de operaciones o actividades de tratamiento.
El Registro de Actividades del Tratamiento debe constar por escrito y será obligatorio para toda empresa u organización. Sin embargo, quedan exentas las organizaciones con menos de 250 trabajadores, a no ser que el tratamiento ordinario pueda entrañar un riesgo para los derechos y libertades de los interesados o bien se incluyan categorías especiales de datos o relativos a condenas e infracciones penales.
El cumplimiento de esta obligación no se agota con su elaboración, sino que éste ha de actualizarse periódicamente.
La Evaluación de Impacto está concebida para describir, de manera anticipada y preventiva, un tratamiento de datos personales, evaluar su necesidad y proporcionalidad, y gestionar los potenciales riesgos para los derechos y libertades a los que éstos están expuestos. La respuesta de si debemos o no realizar una evaluación de impacto, la encontramos en el análisis previo de riesgos. En la práctica, todos aquellos tratamientos que arrojen un riesgo alto deberán ser objeto de EIPD.
Además, será necesario realizar una Evaluación de impacto de protección de datos (EIPD) en determinados casos.
Se trata de otra novedad del Reglamento que consiste en la obligación de notificar, en el menor tiempo posible, las violaciones de seguridad que afecten a los datos personales a la autoridad de control (AEPD) y, en los casos en que dicha violación pueda conllevar un alto riesgo, la correspondiente comunicación a los interesados.
Posteriormente, podrá llevarse a cabo una auditoría con la finalidad de revisar las medidas de seguridad implementadas para paliar los riesgos.
Delegado de Protección de Datos (DPD)
El Delegado de Protección de Datos es la persona, con conocimientos especializados y experiencia en protección de datos, cuyas principales funciones son el asesoramiento en materia de protección de datos y privacidad, supervisión en el cumplimiento del RGPD, revisión de auditorías, cooperación con las autoridades de control y actuar como punto de contacto ante los interesados que ejercitan sus derechos.
Su designación es obligatoria en determinados supuestos. No obstante, es recomendable su nombramiento voluntario puesto que esta figura cobra un papel determinante a la hora de demostrar el cumplimiento (responsabildiad proactiva).
Selección del encargado
El responsable del tratamiento estará obligado a contratar únicamente a aquellos encargados que ofrezcan garantías suficientes para proteger los datos, siendo necesario formalizar por escrito, en tales casos, un contrato sujeto a las previsiones del RGPD.
Supervisión de transferencias internacionales
Toda transmisión o cesión internacional de datos a terceros países u organizaciones fuera del Espacio Económico Europeo habrá de llevarse a cabo de conformidad con el Reglamento General de Protección de Datos.
Régimen sancionador
Las Autoridades de Control de cada Estado miembro, en el marco de sus funciones de supervisión de la aplicación del Reglamento y potestad sancionadora, podrán imponer multas económicas que pueden llegar hasta los 20 millones de euros o el 4% de la facturación bruta anual a nivel mundial del ejercicio anterior, o bien, otras medidas correctoras.