RGPD – Reglamento General de Protección de datos | 2018

GDPR
El nuevo Reglamento estipula una cantidad de normas que ayudará a facilitar la protección de los datos personales, incluida la circulación de información personal que ocurre con el uso de la tecnología digital, son muchas las empresas que ya están aplicando las nuevas políticas para el manejo de sus datos como lo hace Orongo Web Hosting que es un empresa de alojamiento Web con clientes de por el mundo., y haciéndole saber a sus usuarios que han cambiado sus términos y condiciones de uso, todo esto se realiza para evitar las enormes sanciones que están imponiendo estas nuevas reglas.

El Reglamento General de Protección de Datos, es una normativa realizada por la Unión Europea, entró en vigencia el 4 de mayo de 2016, y es perfectamente aplicable a todos los países miembros de la Unión Europea, ejecutándose a partir del 25 de mayo de 2018. Cuenta con el principal objetivo de dar control a todos los ciudadanos y residentes, en cuanto a sus datos personales y garantizarle los mejores estándares de protección adecuados a la realidad tecnológica del mundo en la actualidad. De igual forma simplifica el entorno regulatorio para los negocios internacionales uniendo la regulación de la UE.
El Reglamento UE 2016/679 del Parlamento Europeo y del Consejo del 27 de Abril de 2016 relativo a la seguridad y protección de las personas físicas en cuanto al tratamiento de los datos personales y su libre circulación, deroga la antigua Directiva 95/46/CE.

Con la aplicación de este RGPD las empresas deben tener en cuenta y saber cómo deben ser tratados los datos personales de los proveedores, clientes y trabajadores; se recomienda que todas las empresas se familiaricen con estos nuevos procedimientos ya que se amplían las obligaciones que deben tener las empresas europeas, administraciones públicas, además de las autónomas y todas aquellas empresas que se encuentren fuera de la Unión Europea que brinden sus productos y servicios o que reciban datos personales de países miembros de la UE, así como se debe conocer las exigencias que posee este Reglamento para evitar posibles sanciones.

El actual reglamento ha modernizado la normativa europea en lo que se refiere a la Protección de Datos y une las legislaciones de los distintos Estados Miembros, lo que involucra un notorio avance hacia la obtención de un unitario mercado digital.
Según información suministrada por la Comisión Europea “los datos personales son cualquier información relacionada con un individuo, referida a su vida profesional, pública o privada, como por ejemplo su nombre, dirección, foto, correo electrónico, publicaciones en redes sociales, información médica, y dirección IP de una Computadora”. El Reglamento General de Protección de Datos consta de 173 previos considerando y 99 artículos, es por ello que se resaltan los principales aportes que se incorporan al Reglamento Europeo de Protección de Datos.

Principios de RGPD

Los principios se pueden encontrar en el artículo 5 del RGPD, como el principio de Transparencia 5.1a “Los datos personales serán tratados de manera licita, leal y transparente en relación con el interesado”. Este tiene que ver con las relaciones entre el responsable de los datos, el interesado y las autoridades de control. Sin embargo se ha incorporado un Registro de Actividades de Tratamiento que contiene los siguientes datos:
Nombre y datos de contacto del responsable del tratamiento, así como del delegado de protección de datos, finalidad del tratamiento, descripción de categorías de los interesados y de datos tratados, y trasferencia de datos internacionales de datos.
Otro principio es la Limitación de la Finalidad, establecido en el artículo 5.1b, “Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (…) todo esto debe determinarse al momento de la recolección de los datos.
Minimización de Datos 5.1c, contempla que “Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”. En este principio es obligatorio aplicar medidas técnicas y organizativas para garantizar que solo sean objeto de tratamiento los datos personales que sean necesarios.

Nuevos Derechos de los Ciudadanos.

Se han establecido nuevos derechos de los ciudadanos, esta lista se ha ampliado con el nuevo Reglamento ya que además de los que ya contemplaba que eran cuatro derechos para los interesados; Acceso, Rectificación, Cancelación y Oposición. Se ha incorporado el Derecho a la transparencia de la información, en el art. 12. Derecho a la suspensión (olvido) art. 17. Derecho de limitación art. 18 y derecho de portabilidad en su art. 20.

Derecho al olvido

De acuerdo a su importancia y consecuencias prácticas el Derecho al Olvido establece que cualquier persona tiene derecho a que su información personal sea eliminada de los proveedores de internet cundo lo desee, siempre y cuando de esos datos no se tengan razones legitimas para tenerlos. De igual forma exige a los responsables de los datos que ha difundido la información a terceras personas a notificarles la obligación de suprimir cualquier enlace a los datos publicados. Su objetivo es eliminar de la red y buscadores los datos de la persona que quiere de forma definitiva ser olvidada.

Derecho a la Portabilidad

El nuevo Reglamento estipula la posibilidad de trasladar los datos de un responsable a otro, de forma que el interesado tendrá derecho a que los datos personales se trasmitan directamente cuando sea posible técnicamente. Por ejemplo cuando una persona desea cambiar de compañía de teléfonos o algún otro servicio como la electricidad, la portabilidad permite que los datos personales del particular se transfieran directamente a la nueva compañía que desea, de forma rápida y sencilla hacia el usuario final.
A su vez se debe incorporar que en estos derechos también se exige que se establezcan procedimientos visibles, con un lenguaje sencillo y que sean accesibles, para así facilitar al interesado el ejercicio de sus derechos, manejándolo también a través de medios electrónicos como lo estipula el considerando número 59.

Amplitud de los deberes de la Información

Esta amplitud exige que a la hora de recoger el consentimiento de los interesados se tenga que explicar la base legal para el tratamiento de los datos. Se debe informar en cuanto al periodo de conservación, así como la posibilidad que tienen de hacer reclamaciones, se debe informar sobre todos los derechos que se han incorporado al nuevo RGPD. Es conveniente que sean revisadas las clausulas informativas que han sido incorporadas en los procesos de recogida de datos.

Obtención del Consentimiento

Como novedad el Reglamento establece que para poder considerar la obtención del consentimiento se debe aceptar una declaración del interesado de forma positiva que demuestre su conformidad. Otro punto muy importante es con referencia al tratamiento de datos de menores. Desde su aprobación en mayo de 2018, no se podrá ofrecer servicios de la sociedad de información a menores de 16 años sin el consentimiento de sus padres o tutor legal, al menos que alguna Ley nacional estipule una edad inferior que no será menor de 13 años.
El nuevo reglamento impone que si el consentimiento no se encuentra claramente identificado debe volverse a solicitar, es una información que hay que tener en cuenta, ya que el tratamiento de los datos que no tienen el consentimiento de los usuarios se entenderá como una grave infracción.

Aplicar Acciones y Medidas de Seguridad

El nuevo Reglamento no distingue entre los niveles de los ficheros, este especifica que se deben aplicar medidas de seguridad tomando en cuenta la técnica los costos de aplicación, el alcance, la naturaleza, el contexto y fines de tratamiento, como también los riesgos para los derechos y libertades de las personas físicas. Protección de datos desde el diseño y por defecto, Art. 25.
Una vez que se ha hecho una recopilación de datos, los interesados deben estar informados sobre ese alcance, la base legal para el procesamiento de esos datos personales, el tiempo que serán conservados, si son trasferidos a un tercero o fuera de la UE, así como cualquier divulgación de alguna decisión que sea automatizada que se ejecute sobre una base algorítmica única.
Igualmente se exige al responsable del tratamiento bajo el principio de responsabilidad proactiva en el Art. 5.2 que se apliquen las medidas técnicas y organizativas apropiadas para garantizar y demostrar que el tratamiento es conforme a la Ley, y que propone como mecanismo eficiente de verificación del cumplimiento la adhesión a códigos de conductas certificados, Art. 42.3. En general el nuevo reglamento insta a que las empresas demuestren una actitud consciente, diligente y proactiva en cuanto al tratamiento de los datos.

Evaluación de Impacto.

Otra obligación que se debe cumplir es realizar una evaluación del origen naturaleza, particularidad y gravedad de los riesgos (Considerando 84 del Reglamento), así como evaluar el impacto para las organizaciones que ejecuten tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas.
Comunicación a las Autoridades de Protección de Datos.
Otra obligación que impone el RGPD al responsable del tratamiento es notificar las violaciones de seguridad de los datos, es decir, este responsable debe notificar a la autoridad competente (AEPD en España) cualquier situación que haya acontecido en un lapso de 72 horas desde su ocurrencia, de igual forma si esa situación implica algún riesgo para los interesados también debe ser notificado.

Se crea la figura del Delegado de Protección de Datos.

El nuevo Reglamento dedica una sección a esta figura dada a la importancia que tiene el Delegado de Protección de Datos (Data Protection Officer).
Este Delegado juega un papel importante ya que es el asesor de protección de datos de la empresa, y sus competencias se dirigen a la coordinación y control del cumplimiento de la normativa en cuanto a la protección de los datos. Esta figura no es obligatoria salvo las empresas públicas que deben contar con un delegado y las empresas que tengan un tratamiento a gran escala. Este delegado puede ser elegido entre el personal que tiene la empresa responsable de los datos o puede cumplir con las tareas por medio de un contrato de servicios.

Entre sus funciones se encuentran las siguientes:

  • Dar Formación al Personal.
  • Coordina y organiza las auditorias.
  • Procesa la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos.
  • Custodia la documentación.
  • Supervisa la ejecución de la evaluación de los impactos.

El Delegado de Protección de Datos debe ser profesional y contar con un amplio conocimiento de la Legislación y prácticas de Protección de Datos y tener la capacidad de cumplir con las tareas exigidas por el RGPD.

Autoridades de Protección de Datos.

Este se encuentra coordinado por un organismo dependiente de la comisión europea, el Comité Europeo de Protección de Datos. En este caso para los titulares de los datos se aplica un sistema de ventanilla única, lo que significa que en caso de que se realice un reclamo dentro de cualquier estado miembro, se puede acudir a la autoridad de su país.
Sanciones.
Uno de los temas que está causando mayor discusión y controversia es la diferencia exponencial de las enormes cuantías de las sanciones que establece el nuevo reglamento. Si el anterior reglamento aplicaba sanciones que iban desde 900 euros hasta 600.000 euros, el nuevo reglamento no aplica cuantías mínimas y las máximas alcanzan a los 20 millones de euros o un 4% del negocio que comete la infracción. Por ejemplo la empresa Facebook tuvo un impacto monetario lo que fue una amenaza seria: sin embargo los ingresos de Facebook no fueron seriamente mermados cuando en 2016 fueron multados por 110 millones de euros por proveer información incompleta tras la adquisición de Whatsapp. La sanción por infringir el RGPD podría ser muchísimo mayor.
De una forma resumida se ha podido analizar sobre lo nuevo que se ha incorporado al Reglamento de Protección de Datos, las empresas tienen el deber de adaptarse a las medidas jurídicas, técnicas y organizativas para recoger los datos de sus usuarios para así garantizar el cumplimiento ante los clientes y autoridades de supervisión europea.
Es importante destacar que este nuevo Reglamento General de Protección de Datos va a tener un gran impacto en el mundo incluyendo los Estado Unidos y China, ya que las empresas que manejan datos personales europeos están obligadas a aplicar y cumplir este reglamento.
En Estados Unidos las Famosas Plataformas como Twitter, Facebook, han empezado a notificar a sus usuarios europeos sobre las condiciones y cambios en cuanto a su uso, conforme a la nueva legislación de Europa. Así como solicitarles la autorización a los usuarios europeos para ofrecerle publicidad dirigida y reconocimiento facial.
Las empresas deben garantizar que se ofrezca el consentimiento libre, específico, informativo e inequívoco de sus clientes para el uso de sus datos personales. Las compañías de internet deben modificar sus políticas para ofrecer sus servicios a usuarios europeos donde estén, mientras que en América Latina aún continúan pendientes las posible reformas que ofrezca una verdadera protección de los datos.
El nuevo RGPD de alguna forma motiva al establecimiento de un estándar global y que se contemple una guía para la protección de sus ciudadanos. Países como Panamá y Brasil discuten sus primeras normativas de protección de datos personales, Argentina y Chile igualmente han iniciado importantes reformas a sus desactualizados estándares de protección.
El impacto de la regulación europea en materia de protección de datos personales no es nuevo, a lo largo del tiempo Europa se ha mantenido en la vanguardia de protección de los datos. Esta normativa pareciera que es un modelo a seguir para América Latina pero hay que analizar sus consecuencias económicas, políticas y sociales, el nuevo reglamento no sería favorable, por lo que la urgencia en la implementación o actualización de la normativa de protección de datos personales en América Latina debe ser compatible con la protección adecuada de la libertad de expresión y el acceso a la información en nuestros países.

Mas información sobre el GDPR en https://ec.europa.eu/info/law/law-topic/data-protection_en