NORMATIVA

Normativa

1. Antecedentes de Derecho Protección de Datos.

El artículo 18.4 de la Constitución Española de 1978 establece que «la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». Este es nuestro punto de arranque legislativo respecto a la automatización de la información sobre datos personales, desarrollado fundamentalmente en la siguiente legislación:

1) La Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal  5/1992 de 29 de Octubre, cuya finalidad era la protección de los datos de carácter personal para el desarrollo del precepto constitucional (art 18.4) y limitar el uso de la informática con el fin de garantizar el honor, la intimidad personal y familiar de los ciudadanos.

2) La Ley Orgánica de Protección de Datos (LOPD) 15/1999 del 12 de Diciembre de 1999 y 3) el reglamento que regula la misma, que se publicó el 19 de Enero del 2008.

 

2. Reglamento Europeo de Protección de datos (RGPD).

La constante evolución tecnológica y la globalización obligan a cambiar los planteamientos y las necesidades, suponiendo nuevos retos para la protección de los datos personales. Como en el resto del mundo, en la Unión Europea se ha incrementado el intercambio de datos personales entre personas físicas, asociaciones, empresas y operadores públicos y privados.

Un marco más sólido y coherente es requerido ante estos avances para la protección de datos en la Unión Europea, teniendo que verse respaldado por una ejecución estricta, que proporcione a las personas físicas, los operadores económicos (incluidas las microempresas y las pequeñas y medianas empresas) y los Organismos e Instituciones Públicas, seguridad jurídica y transparencia.

El Reglamento 2016/679 del Parlamento Europeo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, entró  en vigor en mayo de 2016. Mediante él se deroga la Directiva 95/46/CE, con lo que el Reglamento General de Protección de Datos (en adelante RGPD), será de plena aplicación a partir del 25 de mayo de 2018. El Estado Español aun tiene pendiente redactar y aprobar la Ley Orgánica sobre esta materia y adaptar la legislación Española al Reglamento Europeo.

3. Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD).

La Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y Garantí de los Derechos Digitales es una ley orgánica aprobada por las Cortes Generales de España que tiene por objeto adaptar al derecho interno español el Reglamento General de Protección de Datos europeo.  Esta ley orgánica deroga a la anterior Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

4. Principales Novedades Normativas RGPD y LOPD-GDD.

Las importantes modificaciones que se introduce con la nueva normativa, afectan al sistema de privacidad de cualquier organismo, empresa o institución. Añade a los tradicionales principios otros nuevos tales como la transparencia, la minimización de los datos utilizados, el consentimiento expreso y la responsabilidad proactiva de las personas jurídicas, así como el establecimiento de políticas de protección de datos y la adhesión a códigos de conducta. Veamos las principales novedades:

Principio de responsabilidad proactiva.

El principio de responsabilidad proactiva recae directamente sobre el responsable del tratamiento. Será la persona jurídica la que aplicará las medidas técnicas y organizativas apropiadas a fin de poder garantizar y  demostrar que el tratamiento es conforme a la normativa. En términos prácticos, este principio requiere que las empresas analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.

Principio de transparencia.

Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información relativa al tratamiento de sus datos de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

Existe la obligación de informar a los ciudadanos sobre el tratamiento de sus datos y sobre el ejercicio de sus derechos por parte de las organizaciones, que están obligadas a informar a los ciudadanos de forma clara y sencilla sobre los aspectos más importantes del tratamiento de sus datos. Deben identificar quién trata los datos, con qué base jurídica, para qué finalidad y sobre la forma de ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición.

Minimización de datos personales.

Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

Consentimiento expreso.

La nueva normativa establece como una de las novedades más importantes respecto a la legislación anterior, la prestación del consentimiento expreso por parte de los interesados respecto al tratamiento de sus datos, debiéndose prestar de forma expresa, específica e inequívoca mediante una acción o conducta afirmativa, y descartando totalmente el consentimiento tácito o por omisión.

Como se establece en la «Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento» publicada por la Agencia Española de Protección de Datos (AEPD), los tratamientos iniciados con anterioridad a la aplicación del RGPD seguirán siendo legítimos mientras sean expresos.

Esta exigencia supone que el responsable del tratamiento deberá ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales. Por lo tanto, todas las empresas en las que se haya obtenido un consentimiento tácito o por omisión de los interesados para cualquier tratamiento del dato, como por ejemplo enviando un correo electrónico en el que se comunica que se van a utilizar los datos de un cliente para realizar un determinado fin, deberán obtener un nuevo consentimiento conforme a las exigencias del nuevo RGPD.

 Delegado de Protección de Datos (DPO).

En ocasiones será obligatorio designar un Delegado de Protección de Datos (DPO), interno o externo, que asista a las organizaciones en el proceso de cumplimiento normativo. No obstante, la complejidad de la nueva norma hará recomendable esta figura en muchas empresas y organizaciones. Aunque no sea obligatorio, resulta de gran utilidad para las empresas ya que el Delegado deberá recibir las reclamaciones que la AEPD decida trasladar con carácter previo al inicio de un expediente sancionador.

Derechos de las personas y ejercicio de los mismos.

Los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) eran los derechos mínimos que correspondían a cualquier persona cuyos datos eran objeto de tratamiento con la anterior Ley Orgánica. Con la nueva normativa,  el aseguramiento del ejercicio de estos derechos sigue correspondiendo al responsable del tratamiento, contemplándose nuevos derechos para los interesados, además de mantener los ya tradicionales derechos ARCO:

  • Derecho a la portabilidad de los datos: el interesado tendrá derecho a recibir los datos personales que ha facilitado a un responsable de tratamiento en un formato estructurado, de uso común y lectura mecánica y transmitirlos a otro responsable de tratamiento. Este nuevo derecho tiene por objeto mejorar la capacidad del interesado de trasladar, copiar o transmitir datos personales de manera sencilla de un entorno informático a otro. Una práctica recomendable según el grupo de trabajo sobre protección de datos del artículo 29 es que «los responsables del tratamiento comiencen a desarrollar los medios que contribuyan a responder a las solicitudes de portabilidad de datos, como herramientas de descarga e interfaces de programación de aplicaciones«.
  • Derecho al olvido: es la consecuencia del ejercicio de los derechos de cancelación u oposición en el entorno online. Hace referencia al derecho a impedir la difusión de información personal a través de internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa.

Incluye el derecho a limitar la difusión universal e indiscriminada de datos personales en los buscadores generales cuando la información es obsoleta o ya no tiene relevancia ni interés público, aunque la publicación original sea legítima (boletines oficiales o informaciones amparadas por las libertades de expresión o de información).

  • Derecho de limitación del tratamiento: La limitación de tratamiento consiste en que el responsable de los ficheros deberá reservar los datos y sólo utilizarlos en los siguientes supuestos:
    1. Cuando concurra el consentimiento del interesado.
    2. Para la formulación, el ejercicio o la defensa de reclamaciones.
    3. Para defender, en materia de Protección de Datos, los derechos de otra persona física o jurídica.
    4. Por razones de interés público importante de la Unión Europea o de un determinado Estado miembro.

Consentimiento en caso de menores.

Cuando se realice un tratamiento de datos de menores, se requerirá el consentimiento de los padres para recoger, procesar o almacenar esa información. El límite de edad en España se ha establecido en los 14 años

El modo de proporcionar la información será concisa, transparente, con un lenguaje claro y sencillo, considerando que va dirigida a niños. También se deberán implementar medidas para verificar la edad real que tengan.

Gestión de brechas de seguridad.

Una brecha de seguridad es «toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos«.

Las brechas de seguridad deben ser notificadas a la autoridad de control competente cuando la misma constituya un riesgo para los derechos y libertades de las personas físicas. La notificación se realizará por el responsable del tratamiento en un plazo de 72 horas.

Evaluación de impacto del tratamiento de datos personales.

En aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, las empresas deberán realizar Evaluaciones de Impacto relativas a la Protección de Datos, que determinen los riesgos específicos que supone tratar ciertos datos de carácter personal y prevean medidas para mitigar o eliminar dichos riesgos.

 Página web.

Todos los cambios normativos previamente citados han de quedar reflejados en la página web con la que cuenten las organizaciones. De este modo, es necesario que todas las páginas webs dispongan de los siguientes textos legales:

1.-  Aviso Legal

2.- Política de Privacidad.

3.- Política de Cookies (en caso de disponer de ellas).

Régimen sancionador.

El RGPD prevé la posibilidad de sancionar las infracciones cometidas con respecto al tratamiento de datos de carácter personal con multas administrativas que pueden llegar en en el caso de empresas, a una cuantía equivalente que oscile , dependiendo de la gravedad de la infracción, en un baremo entre el 2%  y el 4% del volumen de negocio anual global del anterior ejercicio.

El coste de incumplir la normativa puede ser elevado, albergando una serie de fases en las que, de no subsanarse el incumplimiento de las exigencias normativas, puede derivar en las sanciones económicas que fija el RGPD.

Dichas fases son las siguientes:

  • Advertencia del incumplimiento de la normativa.
  • Amonestación por parte de la institución correspondiente.
  • Suspensión del tratamiento de los datos hasta la subsanación del incumplimiento normativo.
  • Las mencionadas sanciones económicas.

El endurecimiento del régimen sancionador de la normativa europea puede poner en riesgo la continuidad de la empresa, por lo que resulta imprescindible que las entidades asuman cuantas medidas sean necesarias para garantizar y acreditar su debido cumplimiento.

Modificación de la Ley 3/1991, de 10 de enero, de Competencia Desleal: Se recoge como práctica agresiva en la Ley de Competencia Desleal la suplantación de identidad de la Agencia Española de Protección de Datos o de sus funciones y el asesoramiento conocido como “adaptación al Reglamento con coste 0”, a fin de limitar los asesoramientos ofrecidos por empresas con servicios de ínfima calidad.

5. Análisis de Riesgo y Datos Sensibles.

 Con la finalidad de realizar una correcta adecuación al RGPD a las empresas y profesionales (responsables o encargados de tratamientos), es necesario distinguir entre las empresas que traten datos personales con escaso riesgo de pérdida o robo y datos de nivel básico, frente a las empresas cuyo tratamiento de los datos entrañe un alto riesgo para los derechos y libertades de las personas físicas. En este sentido, las empresas que tratan con datos especialmente sensibles tendrán que realizar un Análisis de Riesgo de las posibles infracciones en las que se pueden incurrir de forma específica junto con la implantación del RGPD, debido al carácter de los datos con los que trabajan. Estas empresas son las pertenecientes a los ámbitos sanitario, educativo, financiero, seguros, servicios de telecomunicaciones, solvencia patrimonial y crédito, generación y uso de perfiles, actividades políticas, sindicales o religiosas, actividades de servicios sociales, publicidad y las relativas a la videovigilancia masiva.

6. La Protección de Datos en las Relaciones Laborales.

El tratamiento por parte de las empresas de los datos personales de los trabajadores, tiene una gran repercusión, debido a los controles de diversa índole a los que pueden estar sujetos.

Controles empresariales

  • Controles basados en el uso de tecnologías de la información.

Cuando para el desarrollo del control empresarial se utilizan tecnologías de la información (huella digital, videovigilancia, revisión del correo electrónico, etc.), las posibilidades de repercusión en los derechos del trabajador se multiplican.

Es imprescindible, a la hora de adoptar una medida de control que comporte un tratamiento de datos personales, aplicar el principio de proporcionalidad y el deber de información a los propios trabajadores, cumpliendo así con los principios relativos a la protección de datos.

  • Controles de salud sobre los trabajadores.

El tratamiento de datos de salud requerirá del consentimiento expreso del trabajador o de la existencia de una previsión legal que exima del mismo.

Las posibilidades de acceso por parte de la empresa a estos datos relativos a la salud y su utilización para fines distintos para los que fueron recabados deberá resultar imposible, ya que la empresa únicamente puede conocer las condiciones de aptitud.

Sistemas internos de denuncia.

La denuncia de irregularidades se concibe como un mecanismo adicional para que los empleados comuniquen internamente las irregularidades a través de un canal específico, como la creación de buzones internos. Los empleados de la compañía deberán ser informados previamente de la existencia de estos sistemas, del tratamiento de los datos que conlleva la formulación de una denuncia y de las consecuencias para el posible denunciado.

Deberes de los trabajadores que acceden a datos personales: seguridad y secreto.

Los deberes de seguridad y secreto son principios fundamentales para la protección de datos a los que la Ley otorga una importancia central. Estos principios tienen como fin asegurar que los datos personales sólo sean conocidos por el afectado o interesado y por los usuarios de la organización cuyo perfil les atribuye competencia para el tratamiento de datos en los sistemas de información.

Para el adecuado cumplimiento de ambos deberes, es imprescindible disponer de políticas de gestión de personal en las que se puedan definir de modo muy claro los perfiles y funciones de cada puesto, así como establecer políticas de acceso a los datos personales.

7. Beneficios indirectos de la Ley.

Todos los departamentos de las empresas  deben ser muy conscientes de la importancia de la Protección de Datos y esto incluye el compromiso ineludible por parte de los órganos directivos.

1.-Una de las ventajas de la reforma será el aumento de la confianza entre clientes y empresas. Estableciendo un marco que convierta la protección de datos personales en una prioridad central de los negocios y proteja la capacidad del individuo de controlar sus propios datos, los clientes podrán recuperar la confianza en las empresas. Esto podría suponer una importante ventaja para las empresas a la hora de atraer nuevos clientes y de retener los que se tienen.

2.- También posibilitará comprometer bajo contrato a todos los que trabajan con  datos de la Empresa, ya sean empleados, proveedores que manejan nuestros datos (Encargados de Tratamiento), como Asesorías, Servicios Informáticos, etc. Todos ellos deberán guardar un estricto cumplimiento sobre la confidencialidad de los datos, pudiendo solamente usarlos para el cumplimiento de su trabajo y para los fines marcados, sin poder transmitirlos a terceros tanto durante el periodo en que están relacionados con la empresa como cuando ya no trabajen en ella o para ella.

3.- Servirá para poner en valor la importancia de la seguridad y salvaguarda dentro de la empresa al marcar procedimientos de Tratamiento de Datos por medios Informáticos seguros ante virus y piratería.

4.- Eliminar el riego de pérdida de datos diseñando y controlando procesos seguros de copias de seguridad.