¿Cuándo es aplicable el Reglamento General de Protección de Datos (RGPD)?
El Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016. No obstante, se aplica desde el 25 de mayo de 2018, por lo que los responsables y encargados de tratamiento deben adecuar el tratamiento de datos personales que realizan a lo previsto en el mismo. Asimismo, el Reglamento es directamente aplicable, por lo que a, diferencia de la anterior Directiva, no necesita ser transpuesto al ordenamiento jurídico español.
Además del RGPD, se encuentra en vigor la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
¿Cuál es el ámbito de aplicación del RGPD?
El RGPD, además de aplicarse como hasta ahora a responsables o encargados de tratamientos de datos establecidos en la Unión Europea, contempla su aplicación a aquellos responsables y encargados, que si bien no se encuentran establecidos en la Unión, realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.
Para que esa ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.
¿Y respecto a los datos relativos a los empresarios individuales y profesionales liberales?
Al igual que en el supuesto anterior, el interés legítimo del artículo 6.1 f) del RGPD ampara el tratamiento de estos datos, siempre y cuando se refieran a los empresarios individuales en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
Con la aplicación del RGPD ¿Sigue siendo obligatoria la inscripción de ficheros?
A partir del 25 de mayo de 2018, desaparece la obligación de inscribir ficheros, tanto de responsables públicos o privados, en el Registro de Ficheros de la AEPD, u registro de la autoridad autonómica competente. Es decir, con el RGPD desaparece la obligación de inscribir ficheros en esta AEPD.
¿Qué novedades introduce el RGPD?
El RGPD establece un catálogo de las medidas que los responsables, y en ocasiones los encargados, deben aplicar para garantizar que los tratamientos son conformes al citado RGPD, así como que están en condiciones de demostrarlo.
Estas medidas de responsabilidad proactiva son las siguientes:
– Análisis de riesgo.
– Registro de actividades del tratamiento.
– Protección de datos desde el diseño y por defecto.
– Adopción de medidas de seguridad.
– Notificaciones de “violaciones de seguridad de los datos”
– Evaluaciones de impacto sobre la protección de datos.
– Nombramiento del Delegado de Protección de Datos.
Además, el RGPD contempla dos medidas más con la finalidad de contribuir a la correcta aplicación de la norma:
– La adhesión por parte de responsables y encargados de tratamiento a códigos de conducta.
-La creación de mecanismos de certificación y de sellos y marcas de protección de datos.
¿Cuáles son los principios relativos al tratamiento de datos?
Estos principios se encuentran recogidos en el artículo 5 del RGPD y supone que los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»). Además, el responsable del tratamiento será responsable del cumplimiento de estos principios y deberá ser capaz de demostrarlo («responsabilidad proactiva»).
¿En qué consiste el principio de transparencia e información a los afectados?
En virtud de este principio, la información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
Se deberán evitar las fórmulas especialmente farragosas y que incorporan remisiones a los textos legales.
Las cláusulas informativas deberán explicar el contenido al que inmediatamente se refieren de forma clara y accesible para los interesados, con independencia de sus conocimientos en la materia.
Según el RGPD ¿Cómo debe solicitarse el consentimiento de los interesados para tratar sus datos personales?
El RGPD requiere que el consentimiento sea “inequívoco”, lo que supone que se preste mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que permitía la normativa española de protección de datos. Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de internet. El consentimiento en el marco del RGPD se caracteriza por lo siguiente:
– Puede ser para uno o varios fines.
– Debe ser prestado de forma libre.
– Revocable.
– El responsable debe poder probar en todo momento que ha obtenido el consentimiento.
– Utilizar un lenguaje claro y sencillo.
Por otra parte, también debe ser tenido en cuenta lo siguiente:
– Si se usa para obtenerlo una declaración escrita, debe quedar claramente diferenciada la parte referente a protección
de datos del resto de declaraciones.
– Si se recaba el consentimiento para varias finalidades:
* Sería posible agruparlas en virtud de su vinculación (por ejemplo, consentimiento para la recepción de publicidad propia o de terceros).
* Pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo tratamiento por quien recaba los datos y cesión a terceros).
Asimismo, existen supuestos en que además de inequívoco, el consentimiento ha de ser explícito:
– Tratamiento de datos sensibles
– Adopción de decisiones automatizadas
– Transferencias internacionales
¿Qué ocurre con los consentimientos tácitos obtenidos con anterioridad a la entrada en vigor del RGPD?
Como ya se ha indicado en la anterior pregunta-respuesta, con el RGPD desaparecen los consentimientos tácitos, lo que supone que este tipo de consentimientos no son acordes con la nueva norma. De esta forma, desde la aplicación del RGPD (25 de mayo de 2018), estos consentimientos deberán adaptarse a los requisitos establecidos por el mismo, de manera que debe encontrarse otra forma de legitimación para estos tratamientos:
– Mediante una nueva solicitud de consentimiento acorde con el RGPD.
– Mediante la aplicación de algún otro supuesto de legitimación, como podría ser la regla del interés legítimo que tendría que ponderarse.
* Para determinar si es posible aplicar esta regla del interés legítimo, habrá de atenderse a las circunstancias de cada
tratamiento concreto y, en particular, el origen de los datos, el alcance de la información tratada o la finalidad perseguida, no siendo posible fijar una respuesta única.
En todo caso, si se opta por una base legal distinta del consentimiento será preciso informar a los interesados, entendiendo que, además, les corresponden todos los derechos y garantías propios de la base jurídica elegida, como podría ser el derecho de oposición.
Con el RGPD ¿Sigue vigente la LOPD y su Reglamento de desarrollo?
En la actualidad se encuentra en vigor la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), por la que se deroga la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, así como cualquier otra disposición de igual o inferior rango que contradiga, se oponga o resulte incompatible con lo dispuesto en el RGPD y en la LOPDGDD.
No obstante, las normas dictadas en aplicación del artículo 13 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que hubiesen entrado en vigor con anterioridad a 25 de mayo de 2018, y en particular los artículos 23 y 24 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, siguen vigentes en tanto no sean expresamente modificadas, sustituidas o derogadas.
Asimismo, los tratamientos sometidos a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, y en particular el
artículo 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la citada directiva.
¿Cuáles son las bases de legitimación para el tratamiento de datos?
El RGPD mantiene el principio de que todo tratamiento de datos necesita apoyarse en una base que lo legitime. Hay que destacar que en ese sentido el RGPD no implica cambios para los responsables del tratamiento de datos; pues también recoge las mismas bases jurídicas que contenía la Directiva y que reproduce la LOPD:
a) Consentimiento.
b) Relación contractual.
c) Intereses vitales del interesado o de otras personas.
d) Cumplimiento de una obligación legal para el responsable.
e) Interés público o ejercicio de poderes públicos.
f) Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
Por otra parte, aunque no se está expuesto de forma explícita, se deben documentar e identificar claramente la legitimación sobre la que se fundamentan los tratamientos, ya que se deduce de algunos artículos del RGPD y del principio general de “responsabilidad activa”.
Por ejemplo: hay que incluir la base legal sobre la que se desarrolla el tratamiento al proporcionar la información en el momento de recoger los datos de los interesados, así como especificar y documentar los intereses legítimos en que se fundamentan las operaciones de tratamiento en casos como las Evaluaciones de Impacto sobre la Protección de Datos oen determinadas transferencias internacionales.
Asimismo, la identificación de la base legal es indispensable para estar en condiciones de demostrar que se cumple con las previsiones del RGPD. Esta identificación y la correspondiente documentación deben adaptarse al tipo de tratamiento y a las características de las organizaciones.
¿Cuáles son las bases de legitimación para el tratamiento de las categorías especiales de datos?
Las categorías especiales de datos son aquellas que incluyen datos que revelen el origen étnico o racial, las opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual o las orientaciones sexuales de una persona física.
La regla general contemplada en el Reglamento es la prohibición del tratamiento de categorías especiales de datos
(art. 9). No obstante, se recoge un amplio abanico de excepciones a esta regla general como son las siguientes:
a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;
b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida enque así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;
c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;
e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;
f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado”.
Como motivos de interés público amparado en habilitaciones legales que exceptúan la prohibición, el propio RGPD recoge expresamente los siguientes supuestos:
-El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social. Sobre los tratamientos realizados con las finalidades citadas se prevé que el tratamiento se realice por un profesional sujeto a deber de secreto o bajo su responsabilidad, así como por cualquier otra persona
sujeta a la obligación de secreto: -El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios.
– El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. Finalmente, se admite que los Estados miembro puedan mantener o introducir condiciones adicionales, incluidas limitaciones, sobre los tratamientos de datos genéticos, biométricos o de salud.
¿Se debe cumplir con el contenido del derecho de información del RGPD para los tratamientos realizados antes de su aplicación?
Respecto a los afectados a quienes se les haya recabado sus datos de carácter personal con anterioridad a la aplicación del RGPD (25 de mayo de 2018), el responsable no tiene que enviar una comunicación al respecto con el contenido del derecho de información del RGPD. Es decir, este derecho de información del RGPD no se aplica de forma retroactiva.
¿Qué información debe facilitarse cuándo los datos se obtengan directamente del afectado?
Puesto que como hemos indicado anteriormente, el contenido del derecho de información se ha ampliado considerablemente, la AEPD recomienda adoptar un modelo de información por capas o niveles de manera que: Se presente una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos.
Y por otra parte, remitir el resto de las informaciones, en un medio más adecuado para su presentación, compresión y, si se desea, archivo. La información a facilitar por capas o niveles sería la siguiente:
1.- Información básica (1ª capa, resumida):
– Identidad del responsable del tratamiento;
– Descripción sencilla de los fines del tratamiento, incluyendo la elaboración de perfiles si existiese;
– Base jurídica del tratamiento;
– Previsión o no de cesiones.
– Previsión de transferencias o no, a terceros países.
– Referencia al ejercicio de derechos.
2.- Información adicional (2ª capa, detallada):
– Datos de contacto del responsable. Identidad y datos del representante (si existiese).
– Datos de contacto del delegado de protección de datos (si existiese).
– Descripción ampliada de los fines del tratamiento.
– Plazos o criterios de conservación de los datos.
– Decisiones automatizadas, perfiles y lógica aplicada.
– Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo.
– Obligación o no de facilitar datos y consecuencias de no hacerlo.
– Destinatarios o categorías de destinatarios.
– Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.
– Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los datos, y la limitación u oposición a su tratamiento.
– Derecho a retirar el consentimiento prestado.
– Derecho a reclamar ante la Autoridad de Control.
Esta información no se facilitará en los supuestos de que el afectado ya disponga de la misma.
¿Qué información debe facilitarse cuándo los datos no se hayan obtenido directamente del afectado?
La misma a la que nos hemos referido en la anterior pregunta-respuesta añadiendo lo siguiente:
– En la información básica (1ª capa, resumida), la fuente (procedencia) de los datos.
– En la información adicional (2ª capa, detallada), la información detallada del origen de los datos, incluso si proceden de fuentes de acceso público, así como la categoría de datos que se traten.
Esta información se facilitará dentro de un plazo razonable, y más tardar en un mes, salvo que:
-Si los datos personales han de utilizarse para una comunicación con el afectado, a más tardar en el momento de la primera comunicación a dicho afectado.
-Si está previsto comunicarlos a otro interesado, a más tardar en el momento en que los datos personales sean comunicados por primera vez.
No obstante lo anterior, no será necesario comunicar el contenido del derecho de información cuando:
-El afectado ya disponga de la información.
-La comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de que el responsable adopte medidas adecuadas para proteger los derechos, libertades e intereses legítimos del afectado.
-La comunicación de los datos esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y se establezcan medidas adecuadas para proteger los intereses legítimos del afectado.
-Los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida la obligación de secreto de naturaleza estatutaria.
¿Qué actuaciones hay que realizar para adecuarse al RPGD?
La AEPD ha publicado dos documentos, uno dirigido al sector privado y otro a las Administraciones públicas, reflejando las actuaciones u “hoja de ruta” que se debe llevar a cabo para que los tratamientos sean conformes al RGPD. Estas actuaciones serían las siguientes:
– Designar al delegado de protección de datos si es obligatorio o si se asume voluntariamente.
– Elaborar el registro de actividades de tratamiento.
– Analizar las bases jurídicas de los tratamientos.
– Efectuar un análisis de riesgos.¿
En el sector privado, debe realizarse por aquella entidad que no pueda utilizar el programa Facilita_RGPD.
– Revisar las medidas de seguridad en función del análisis de riesgos realizado.
– Establecer mecanismos y procedimientos de gestión de quiebras de seguridad.
– Llevar a cabo, cuando sea necesario, una evaluación de impacto de la protección de datos.
– Adecuar los formularios de recogida de datos personales al contenido del derecho a la información del RGPD.
– Adaptar los procedimientos para atender a los derechos de los afectados en relación al tratamiento de sus datos personales.
– Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento del RGPD.
– Adoptar los contratos con encargados de tratamiento al contenido que dispone el RGPD.
– Confeccionar e implantar políticas de protección de datos.
¿Qué es el Registro de actividades de tratamiento?
Los responsables y encargados del tratamiento de datos personales deberán mantener un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro deberá contener la información que recoge al respecto el artículo 30 del RGPD y que es la siguiente: Respecto a los responsables:
a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
b) los fines del tratamiento;
c) una descripción de las categorías de interesados y de las categorías de datos personales;
d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.
Respecto a los encargados:
a) el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
b) las categorías de tratamientos efectuados por cuenta de cada responsable;
c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.
Por otra parte, están exentas de configurar este registro de actividades las organizaciones que empleen a menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.
No obstante, hay que indicar que estas excepciones se aplican en casos muy limitados, puesto que en la práctica todos los tratamientos pueden suponer un riesgo para los derechos y libertades de los interesados, aunque sea ocasional, lo que viene a implicar que en la práctica, que la mayoría de los responsables o encargados del tratamiento que empleen a menos de 250 trabajadoras estarán obligadas a llevar un registro de actividades de tratamiento.
Por último, para organizar este registro de actividades de tratamiento se puede:
-Partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos, detallando todas las operaciones que se realizan sobre cada conjunto estructurado de datos.
-Configurarlo en torno a operaciones de tratamiento concretas vinculadas a una finalidad básica común de todas ellas (por ejemplo, “gestión de clientes”, “gestión contable” o “gestión de recursos humanos y nóminas”) o con arreglo a otros criterios distintos.
