+ 34 968 900 300

PROTECCIÓN DE DATOS

Lopd

Consultoria técnico-jurídica: REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y L Ley de protección de datos (LOPD) y Ley de servicios deey de servicios de la Sdad. de la Información y Comercio Electrónico ( LSSICE ).

Con este Reglamento, la Unión Europea aboga por ampliar el espectro de los mecanismos para la protección de ese derecho fundamental de los ciudadanos cual es la protección de sus datos personales.

El Reglamento Europeo de Protección de Datos tendrá repercusiones, no sólo a nivel europeo sino a nivel nacional, con un nivel de impacto bastante elevado en todas las organizaciones, ya sean empresas privadas o entidades públicas.

1.1 Naturaleza jurídica del Nuevo Reglamento

Probablemente lo primero que llama la atención con este Reglamento es precisamente la naturaleza jurídica del instrumento bajo el que nace.

En  efecto, su naturaleza es la de Reglamento y no la de Directiva. Es, por tanto,  una norma adoptada por el Consejo en colaboración con el Parlamento Europeo o bien únicamente por la Comisión, en este caso la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, LIBE.

Los reglamentos son un acto general del cual todos sus elementos son obligatorios, sin necesidad de transposición al ordenamiento jurídico nacional. Se   aplican a todos los Estados miembros y no es necesario que se publiquen en los diarios oficiales de los Estados miembros por ser de obligado cumplimiento.

Mientras que las Directivas son vinculantes para los Estados miembros en cuanto a los resultados que deben obtenerse, pero les deja la elección del instrumento  jurídico a emplear en cada país, los Reglamentos, como se ha dicho, son instrumentos de directa aplicación, no trasponibles y vigentes simultáneamente en todos los países miembros.
Además, es prevalente sobre nuestro actual sistema de protección de datos personales (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y Real Decreto 1720/2007, derogando a partes de los dos.

Presentamos a continuación los principales cambios que se producirán por la entrada en vigor del Nuevo Reglamento Europeo de Protección de Datos Personales.

2.2 Implicaciones y cambios

•    Rendición de Cuentas: Se exigirá a las organizaciones la implantación de mecanismos que garanticen y aseguren el cumplimiento de las obligaciones en materia de protección de datos y que permitan demostrar documentalmente su eficacia.
•    Transparencia: Se exigirá la conservación de la documentación de todas las operaciones de tratamiento de datos efectuadas por el responsable o encargado del tratamiento.
•    Menores de edad: Se fija la edad de los menores en menos de 13 años (frente a la actual regulación española que la fija en menos de 14), en relación a la oferta directa de servicios de la sociedad de la información (comercio electrónico). Además el tratamiento de los datos de estos menores solamente será lícito si el padre o tutor del menor ha prestado su consentimiento previo.
•    Derecho al olvido: Este derecho consiste en la supresión de datos bien porque ya no son necesarios conforme a la finalidad para la que fueron recabados ya sea porque el interesado ha revocado su consentimiento para el tratamiento; porque ha expirado el plazo para el tratamiento legal de los datos; porque el interesado ha ejercitado su derecho de oposición, o bien porque el tratamiento de los datos no se está realizando conforme al nuevo Reglamento. Los responsables de los datos que han cedido o comunicado la información a terceros estarán obligados a comunicarles la obligación de suprimir cualquier enlace a los datos publicados, así como a eliminar cualquier copia o réplica de dichos datos.
•    Medidas de Seguridad: El Reglamento no hace un desglose de las medidas ni establece diversos niveles de seguridad en función del tipo de datos personales que se trate, sino que impone al responsable y al encargado que las implementen asegurar un nivel de protección adecuado atendiendo a tres criterios:
•    los riesgos que se presenten
•    la naturaleza de los datos
•    los costes de implementación.
•    El Delegado de Protección de Datos: La propuesta de Reglamento le dedica una sección entera a esta nueva figura, dada la relevancia que tiene para el futuro. Se establece la obligatoriedad de contar con un “Data Protection Officer” (DPO) o Delegado de Protección de Datos, por un plazo mínimo de 2 años, en los siguientes casos:
•    Autoridades y organismos públicos
•    Empresas con al menos 250 empleados
•    Cuando las actividades del responsable o del encargado consistan en el tratamiento de categorías de datos sensibles; tales como raza, sexo, salud, origen étnico, opiniones políticas, etc.
•    En el tratamiento de datos de localización
•    En el tratamiento de datos de menores
•    En el tratamiento de empleados a gran escala.

Se permite contar con un solo DPO en los casos de grupos de empresas.

Las características del Delegado de Protección de Datos deberán ser las siguientes:
•    El DPO deberá ser un profesional que actué con independencia
•    Deberá tener un amplio conocimiento legal de la materia y de la aplicación de la normativa, y un dominio de los requisitos técnicos para la protección de datos.
•    El DPO podrá ser empleado del responsable del tratamiento, que será designado por un periodo mínimo de cuatro años.
•    Podrá también ser un profesional externo, que será designado por un periodo mínimo de dos años, con posibilidad de que pueda ser nombrado nuevamente y podrá desempeñar sus funciones a tiempo completo o parcial.
•    Su nombramiento debe comunicarse a la autoridad en materia de protección de datos (en nuestro caso a la Agencia Española de Protección de Datos) y comunicarlo al público en general básicamente a través de la cláusula de información puesta a disposición de los interesados en el momento de recabar sus datos.
En cuanto a las funciones que le serán encomendadas se encuentran:

•    Supervisar la implementación y aplicación de las políticas internas
•    Impartir la formación al personal
•    Realizar las auditorías
•    Registrar las operaciones de tratamiento que hayan sido realizadas por el responsable del tratamiento y notificar a la autoridad supervisora (la AEPD) las operaciones que pudiesen presentar riesgos en materia de protección de datos de carácter personal.
•    Emitir Evaluación de Impacto previo a la fase de diseño, contratación, desarrollo y lanzamiento de sistemas para el tratamiento automatizado de datos personales
•    Proporcionar información a los interesados
•    Gestionar las solicitudes presentadas en el ejercicio de los derechos
•    Velar por la conservación de la documentación
•    Actuar como punto de contacto para la autoridad de control

•    La Evaluación de Impacto: Será obligatorio realizar una evaluación de riesgos por parte del responsable o el encargado del tratamiento, con carácter previo al tratamiento, que permita implementar las medidas necesarias para evitar la pérdida de datos, los accesos y cesiones no autorizados. Los casos en los que será necesaria esta Evaluación de Impacto son los siguientes:

•    Cuando el tratamiento sirva para la creación de perfiles de los interesados
•    En el tratamiento de datos sensibles (lo que hoy conocemos como Nivel Alto de seguridad)
•    Cuando se traten datos genéticos o biométricos
•    En los sistemas de vídeo-vigilancia
•    En el tratamiento de datos de menores.

Así pues, las medidas supondrán la adopción de técnicas y métodos así como algunos cambios en la organización de los  trabajos que afecten a los datos de carácter personal. Por otra parte, las medidas deben aplicarse a todo el conjunto que forman los sistemas de información.

En cumplimiento de la Lopd se realizamos  las auditorías bienales y se recomiendo realizar una anual para corregir desviaciones.

Además en  los últimos tiempos se ha incrementado la necesidad de disponer de sistemas que permitan la grabación y gestión de imágenes de nuestras instalaciones. En la mayoría de los casos estas instalaciones han sido realizadas sin prever el impacto legal y moral que las mismas generan sobre las personas (trabajadores, clientes, menores de edad, etc.).

Los consultores legales  de ISOTADER llevan tratando estos temas hace ya  bastante tiempo. En la actualidad disponemos de los conocimientos técnicos y jurídicos que aseguran una legal y correcta implantación de sus sistemas de grabación y video vigilancia corroborada con la Agencia de Protección de Datos. El necesario respeto de las normativas que sobre datos personales existen, regula sobre manera la captación de imágenes , su archivo y difusión.  De igual manera y por probada experiencia son los trabajadores de la propia organización los más expuestos y quien más reclamaciones presentan al respecto.

Es el momento de completar o actualizar este apartado y comprobar si efectivamente estamos cumpliendo la ley. El desconocimiento no impedirá una sanción.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR