Futura entrada en vigor del REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
La propuesta de Reglamento que empezó a gestarse en enero de 2012 supone una notoria novedad en el área de protección de datos de carácter personal ya que se trata de una norma jurídica de alcance general y eficacia directa en todos los países de la Unión europea. Por lo tanto será de obligado cumplimiento para todos los países miembros de la Unión.
Se prevé que la aprobación del citado Reglamento se producirá durante el presente año 2016, previéndose su entrada en el plazo de dos años.
En cualquier caso, la presente Propuesta de Reglamento incorpora muchas e importantes novedades si bien algunos de sus conceptos han de encontrar una postura común entre las diferentes instituciones europeas que participan en su redacción.
Todas estas novedades supondrán para las organizaciones la necesidad de adaptar sus procesos de tratamiento de datos de carácter personal.
Entre las principales novedades que cabe destacar pasamos a enumerar de manera sucinta las siguientes:
1. El consentimiento ha de ser explícito si bien la postura del Consejo lo califica de “inequívoco”, describiéndose en cualquier caso como toda manifestación de voluntad, libre, específica, informada, mediante la que el interesado acepta, ya sea mediante una declaración ya sea mediante una clara acción afirmativa, el tratamiento de datos.
2. Dato de salud es cualquier información que se refiera a la salud física o mental de una persona, o a la asistencia prestada por los servicios de salud a la persona; esto supondrá que cualquier número o símbolo que identifique a la persona a efectos sanitarios serán considerado dato de salud.
3. La Propuesta de Reglamento incorpora nuevos principios que informarán el tratamiento de datos de carácter personal:
3.1. Principio de transparencia.
3.2. Principio de minimización.
3.3. Principio de rendición de cuentas o accountability, es decir, que el responsable del fichero deberá acreditar el cumplimiento de la normativa, se habrá de revisar todo el ciclo de vida de los datos, creando evidencias y procedimientos para acreditar la diligencia debida en el cumplimiento normativo.
4. Licitud del tratamiento de datos de acuerdo con el Interés Legítimo.
En este sentido, cabe señalar que dado que se trata de un concepto jurídico indeterminado se habrá de estar a lo que interprete la Comisión para saber en qué supuestos se puede apreciar interés legítimo.
La Agencia española de protección de datos ha interpretado que habrá de estarse en el caso por caso evaluando cada una de las circunstancias para determinarlo.
5. La propuesta de Reglamento contempla que los menores tendrán capacidad para consentir sobre el tratamiento de sus datos a partir de los trece años, con la matización de los servicios relacionados con la sociedad de la información. Por debajo de esta edad serán los representantes legales quienes deberán prestar el consentimiento.
6. A los Derechos de Tutela (derechos de acceso, rectificación, cancelación y oposición) se incorporan los derechos de olvido y el derecho de la portabilidad.
En este sentido, cabe destacar que se establece se unifica el periodo de un mes para el ejercicio de cualquiera de los derechos citados y se establece que el titular deberá a poner a disposición de los afectados medios electrónicos para ejercitarlos.
7. La Propuesta contempla el Derecho de indemnización y de responsabilidad y lo amplia a los daños y perjuicios que se hayan podido ocasionar por los encargados del tratamiento, estableciendo una responsabilidad solidaria entre responsable y encargado del tratamiento.
8. Deber de información: La Propuesta amplia los extremos a incluir más allá de los previsto en el art 5 de la LOPD:
9. Sobre las Medidas de seguridad cabe destacar que desparece la obligación de inscripción de ficheros y cabe destacar que se incorpora como medida que el titular debe llevar a cabo un análisis de riesgos.
10. Medidas organizativas: Privaty by design: supone que las compañías deben de manera preventiva analizar las medidas a adoptar para que el tratamiento sea legítimo.
11. Encargado del tratamiento: el responsable debe extremar las precauciones y regularizar los contratos de acuerdo con las exigencias y la documentación precisa.
12. Obligación de notificación de las quiebras de seguridad a la Autoridad de protección de datos competente.
13. Evaluación de Impacto: los responsables de fichero y encargados deberán realizar una evaluación de impacto en tratamiento de datos que se consideran arriesgadas.
14. Las organizaciones con más de 250 empleados deberán contar con un Data Privacy Officer o delegado de protección de datos.
15. Se establece un régimen sancionador de acuerdo al volumen de negocio de la compañía infractora.
Por último, cabe destacar que lo señalado en este artículo sobre la propuesta es modificable, ya que la Propuesta está en proceso de aprobación y no es definitiva.
Por Angeles Martínez Balbás, Compliance Manager