¿Cómo afecta el RGPD a un proyecto digital que recoge y trata datos personales?
Contents
¿Cómo afecta el RGPD a un proyecto digital que recoge y trata datos personales?
El 25 de mayo de 2018 entró en vigor el nuevo Reglamento General de Protección de Datos, de aplicación obligatoria para todas las empresas que traten datos de carácter personal.
En Quodem llevamos más de 15 años realizando proyectos digitales para el sector salud, lo que nos ha permitido adquirir una amplia experiencia en materia de Protección de Datos debido a la información sensible que manejan nuestros clientes.
Por ese motivo, en este post nos hemos propuesto responder a las dudas más importantes del nuevo RGPD de cara a futuros proyectos e iniciativas en las que se recogen y tratan datos personales.
Las 18 preguntas más frecuentes sobre el Reglamento General de Protección de Datos
El Reglamento General de Protección de Datos supone uno de los cambios normativos más importantes llevado a cabo por la Unión Europea. Esta nueva normativa endurece el control sobre los datos personales, incrementando las garantías en el tratamiento de los datos e introduciendo nuevas formas de su protección.
Si tienes en activo o estás pensando en lanzar un proyecto digital, nos hemos planteado cuáles serían las 18 preguntas más importantes para cumplir, sin ningún tipo de dudas, con el Reglamento General de Protección de Datos.
1. ¿Por qué hay una nueva legislación sobre protección de datos?
En cada uno de los países de la Unión Europea, resultaban aplicables legislaciones nacionales muy dispares en la materia, lo cual perjudicaba el mercado único. El nuevo RGPD establece un régimen jurídico uniforme en toda la UE, siendo, además directamente aplicable en cada uno de los estados miembros. Además, la nueva norma pretende dotar a los ciudadanos de más herramientas para proteger su derecho a la privacidad en un mundo cada vez más digital.
2. Tengo un proyecto web, que maneja datos personales no sensibles, qué sí cumple con la LOPD. En esencia, ¿qué tengo que modificar para adaptarlo al nuevo reglamento?
Será necesario modificar las cláusulas de información que se utilicen para el recabo de datos, con el fin de adaptarlas al Reglamento General de Protección de Datos. Además, el RGPD exige que, cuando el tratamiento de los datos se base en el consentimiento del interesado, este sea inequívoco, por lo que ya no son válidas fórmulas como las casillas premarcadas o el consentimiento tácito. Esto también es aplicable al uso de cookies en la web. Por último, no podemos olvidar que la prueba de que se ha obtenido correctamente el consentimiento corresponde al titular de la web, por lo que deben guardarse los oportunos registros
3. Tengo una base de datos con datos personales que fueron recogidos en un registro online, en el que los usuarios tenían marcado por defecto la opción de recibir información por email, ¿puedo seguir enviando mis comunicaciones con el nuevo reglamento?
No, ya que el consentimiento que, en su momento, dio el usuario, no se prestó del modo exige el RGPD, por lo que será necesario volver a recabarlo mediante una clara acción afirmativa, como, por ejemplo, marcando expresamente una casilla desmarcada.
4. Tengo una agencia que gestiona mi proyecto con datos personales, ¿qué debo tener firmado con ellos, y qué debo verificar sobre el trabajo que están realizando en el tratamiento de dichos datos?
Se debe firmar un contrato de encargado de tratamiento adaptado a las exigencias del RGPD. El acuerdo debe tener el contenido mínimo exigido por la norma (objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos tratados, categorías de interesados, obligaciones del encargado y derechos del responsable). El responsable del tratamiento deberá velar porque el encargado cumpla con lo establecido en el contrato.
5. Los nuevos ficheros que cree de datos personales, ¿debo notificarlos a la Agencia de Protección de Datos, o ha cambiado el procedimiento?
Con la entrada en vigor del Reglamento General de Protección de Datos, ya no es necesaria notificar los ficheros a la AEPD. Esta obligación se sustituye por la necesidad de que se lleve un registro interno de las actividades de tratamiento de datos personales que la empresa lleve a cabo, con el contenido que exige el RGPD.
6. Si cumplo con el nuevo reglamento, ¿puedo recolectar datos de cualquier país de Unión Europea, y almacenarlos en cualquier país de la misma? ¿Existen aspectos legales específicos para algunos países?
El régimen jurídico aplicable en todos los países de la Unión Europea es el mismo, por lo que las transferencias de datos personales en este ámbito territorial no quedan sometidas a ninguna condición especial. Por el contrario, las transferencias internacionales de datos desde Europa a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la UE más Liechtenstein, Islandia y Noruega) sólo pueden llevarse a cabo cumpliendo los requisitos del RGPD, que impone garantías adicionales.
7. ¿En qué casos necesito un Delegado de Protección de Datos?
La figura del Delegado de Protección de Datos (DPD) es obligatoria cuando el responsable o encargado sean una autoridad u organismo público, cuando tenga entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala o cuando tenga entre sus actividades principales el tratamiento a gran escala de datos sensibles.
Las legislaciones internas de los Estamos Miembros podrían ampliar estos supuestos. En el resto de los casos, es una figura voluntaria.
La designación de un DPD debe notificarse a la AEPD.
8. ¿Qué es y cuándo debo llevar a cabo un análisis de riesgo?
Las medidas técnicas y organizativas a implantar en la empresa para el cumplimiento del RGPD se determinan en función del riesgo existente en cada caso para los derechos y libertades de los interesados, lo cual dependerá de diversos factores, como el tipo de datos que se traten, la finalidad del tratamiento, etc. Por tanto, la realización de un previo análisis de riesgos es obligatoria en todos los casos de tratamiento de datos personales.
9. ¿Y una evaluación de impacto sobre la protección de datos (EIPD), qué es y cuando debo realizarla?
La EIPD es una herramienta con carácter preventivo que debe realizar el responsable del tratamiento en ciertos casos para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. Se debe llevar a cabo siempre que sea probable que un tratamiento de datos entrañe un alto riesgo para los derechos y libertades de las personas físicas.
En la práctica, la EIPD permite determinar el nivel de riesgo que entraña un tratamiento, con el objetivo de establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable.
10. ¿Cómo sé qué medidas de seguridad debo implantar en un proyecto, en función de la sensibilidad de los datos?
El Reglamento General de Protección de Datos, a diferencia de la legislación anterior, no establece unas medidas de seguridad concretas a aplicar en cada caso, sino que dichas medidas han de ser libremente decididas por el responsable o encargado del tratamiento en función de los resultados del análisis de riesgos previamente efectuado.
11. Esta nueva ley no dice exactamente las medidas a aplicar según la sensibilidad de los datos, como si hacía la LOPD. ¿Se va a ampliar o ajustar para dar indicaciones más concretas?
La interpretación del Reglamento General de Protección de Datos se concreta a través de los informes y guías publicadas por las autoridades de control y se completará con la jurisprudencia de los tribunales. No obstante, estas interpretaciones no pueden ser contrarias al RGPD, por lo que se deberá respetar siempre el principio del riesgo, que la norma establece en materia de medidas de seguridad. Por ello, aunque puedan darse indicaciones o aclaraciones en el futuro, no parece previsible que se vuelva al sistema cerrado de determinación de medidas de seguridad que existía en la normativa anterior.
12. ¿Qué significa que los datos personales deben ser seudonimizados?
La seudonimización es una posible medida de seguridad a aplicar al tratamiento de datos personales, que consiste en tratar la información de una persona sin incluir sus datos denominativos–esto es, aquéllos que lo pueden identificar de manera directa-, sino asignándole otra información (por ejemplo, un código) que permita, a través de la asociación con información adicional, determinar quién es el individuo que está detrás de los datos seudonimizados.
13. ¿Qué es el principio de responsabilidad proactiva?
Este principio significa que el responsable y encargado del tratamiento deben aplicar las medidas oportunas para garantizar el cumplimiento del RGPD, pero, además, que deben ser capaces de demostrar ante los interesados y ante las autoridades de supervisión que cumplen dichas medidas.
En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
14. Con el nuevo reglamento, cuando un usuario acepta que recoja sus datos personales, ¿qué significa que el consentimiento debe ser inequívoco?
El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. No se admiten formas de consentimiento tácito o por omisión, ya que estas se basan en la inacción.
15. ¿Cambia la forma en la que un usuario puede ejercer sus derechos de acceso, rectificación, cancelación y oposición (ARCO)?
El modo de ejercicio de estos derechos no varía. Sin embargo, sí cambia el plazo para darles respuesta, que ahora es de treinta días en todos los casos. Adicionalmente, se reconocen nuevos derechos, junto a los tradicionales ARCO: la limitación de tratamiento (que supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían) y el derecho a la portabilidad (que implica que, a petición del interesado, sus datos se transmitan directamente de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado, siempre que ello sea técnicamente posible).
16. He recibido correos en lo que me pedían volver a dar mi consentimiento para recibir notificaciones, y otros en los que simplemente me informaban de la nueva política de privacidad y de cómo podía darme de baja de la lista de distribución… ¿por qué esa diferencia?
En aquellos casos en los que el consentimiento se obtuvo antes del Reglamento General de Protección de Datos, pero cumpliendo los requisitos de este, no es necesario volver a solicitarlo. Tampoco es necesario pedir consentimiento para enviar publicidad de nuestros servicios a quienes ya sean nuestros clientes, puesto que este tratamiento se basa en la existencia de un interés legítimo, no en el consentimiento. Por tanto, sólo tiene sentido volver a pedir permiso para el tratamiento de datos en aquellos casos en que el consentimiento anterior al RGPD no se obtuviese conforme a este (por ejemplo, si hubiese sido tácito). Por ello, muchas de las comunicaciones que se han enviado con el RGPD han sido simplemente incorrectas.
En otros casos, se han remitido sólo para transmitir a los usuarios una imagen de cumplimiento de la nueva norma, con el fin de mejorar la confianza del usuario en el servicio.
17. Puede ser que haya perdido o me hayan robado datos personales en mi proyecto… ¿qué debo notificar y a quién?
Cuando se produzca una brecha de seguridad que suponga un riesgo para los derechos y libertades de los afectados, el responsable debe notificarla a la AEPD, sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que tenga conocimiento. La notificación debe describir la naturaleza de la violación de seguridad, las categorías de datos y de interesados afectados, las medidas adoptadas para solventar la quiebra y, si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados.
Las quiebras de seguridad deben notificarse a la AEPD.
18. ¿Qué puedo leer para saber más sobre todo esto?
Puede encontrarse información adicional en la página web de la Agencia Española de Protección de Datos y en la del Supervisor Europeo de Protección de Datos.
¿Quieres poner a prueba tus conocimientos sobre el RGPD? Accede a nuestro curso sobre el Reglamento General de Protección de Datos, realiza el test y consigue tu diploma.