Alfonso ORTEGA GIMÉNEZ*
Profesor Contratado Doctor de Derecho Internacional privado de la Universidad Miguel
Hernández de Elche
A partir del 25 de mayo de 2018 será de aplicación el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos –RGPD–). Para esta fecha todas las empresas deben haberse adaptado a las nuevas exigencias que se establecen; es decir, conocer los nuevos derechos que tendrán que proporcionar como responsables de datos ante los interesados propietarios de éstos, así como cumplir con las nuevas obligaciones.
El RGPD estará regido por los siguientes principios:
- Los datos se tratarán de forma lícita, con lealtad y transparencia.
- Serán recogidos para fines determinados, explícitos y legítimos y no serán tratados para otros fines; es una limitación de la finalidad.
- Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados; minimización de datos.
- Exactos y, si fuera necesario, actualizados.
- Serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
- Se garantizará una seguridad adecuada de los datos, incluida la protección frente a usos no autorizados. Prima la integridad y confidencialidad.
- Responsabilidad proactiva del responsable con el fin de que lleve a cabo las medidas oportunas para garantizar los principios anteriores.
- La protección de datos debe hacerse desde el diseño y por defecto.
El RGPD es una norma con alcance general y obligatorio en todos sus aspectos. La nueva normativa europea modifica el régimen actual, añadiendo nuevas obligaciones que los responsables tienen que tener en cuenta y aplicarlas según sus propias circunstancias, siguiendo en todo momento el principio de responsabilidad PROACTIVA o ACCOUNTABILITY.
El RGPD configura un nuevo enfoque de transparencia y protección de los datos personales, ampliando sustancialmente las obligaciones informativas frente a los interesados y el catálogo de derechos que les corresponden. La seguridad se convierte en un elemento esencial de la estructura de la empresa, que no solo debe garantizar la confidencialidad, integridad e indemnidad de los datos que trata, sino que debe ser capaz de demostrar que ha adoptado las medidas oportunas para ello.
Solo debe garantizar la confidencialidad, integridad e indemnidad de los datos que trata, sino que debe ser capaz de demostrar que ha adoptado las medidas oportunas para ello.
La nueva normativa sí supone un giro en el enfoque de la protección, no como una obligación más, sino como una oportunidad de ofrecer servicios mejores y más seguros, pudiendo adaptar las medidas de seguridad a sus circunstancias particulares. En este sentido, sí es recomendable que la empresa cuente con un asistente en la gestión de la privacidad, aun no siendo obligatorio, pues el sistema legal implementado por el RGPD es complejo y las sanciones por incumplimiento mucho más elevadas.
Una de las grandes novedades introducidas por el RGPD es la creación de la figura del Delegado de Protección de Datos (DPD), regulada en sus arts. 37 a 39, la cual será obligatoria en aquellos casos contemplados en la norma:
- Cuando el tratamiento sea llevado a cabo por una autoridad u organismo público.
- Cuando la actividad principal del responsable o encargado consista en operaciones que requieran la observación habitual de interesados a gran escala.
- Cuando la actividad principal de la empresa consista en el tratamiento de datos de categorías especiales a gran escala.
La empresa podrá designar un DPD interno o externo, atendiendo a sus cualidades profesionales, si bien no es preciso que sea jurista, aunque sí deberá contar con formación especializada.
El DPD debe asesorar a la empresa en todo lo relativo a la normativa de protección de datos y actuar como punto de contacto para los interesados y las autoridades de control, por lo que deberá contar con autonomía en su gestión y con los recursos necesarios para ello.
El DPD cubre la necesidad de las empresas de contar con la ayuda de una persona con conocimientos especializados en la práctica de protección de datos personales, siendo la figura que rinde cuentas ante el cumplimiento de la normativa.
- a) Designación obligatoria
El nombramiento de un DPD dentro de toda organización no es obligatorio, estableciendo el art. 37.1 del RGPD, tres supuestos específicos en los que sí lo es. Estos tres casos son:
- Cuando el tratamiento lo lleva a cabo una autoridad u organismos públicos;
- Cuando las actividades principales del responsable o el encargado del tratamiento consisten en operaciones de tratamiento que requieren el seguimiento regular y sistemático de los interesados a gran escala; o
- Cuando las actividades principales del responsable o el encargado del tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos penales.
Si una organización no está obligada a nombrar DPD, podrá nombrarlo de forma voluntaria igualmente, siguiendo con los mismos requisitos exigidos en cuanto a su designación, posición y funciones.
Se deberá nombrar un DPD cuando el tratamiento lo lleve a cabo una autoridad u organismos públicos.
No hay obligación de designación en las organizaciones privadas que lleven a cabo tareas o ejerzan autoridad pública y que su actividad cubra también todas las operaciones de tratamiento llevadas a cabo, incluidas las que no están relacionadas con el desempeño de una tarea pública o el ejercicio de una función pública.
Segundo supuesto que dicta el RGPD para la designación obligatoria de un DPD, es cuando las actividades principales del responsable o el encargado del tratamiento consistan en operaciones de tratamiento que requieren una observación habitual y sistemática de interesados a gran escala.
- b) Funciones del DPD
Las funciones que, como mínimo, realizará el DPD, son las siguientes:
- a) Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
- b) Supervisar el cumplimiento de lo dispuesto en el RGPD, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
- c) Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación;
- d) Cooperar con la autoridad de control;
- e) Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa, y realizar consultas, en su caso, sobre cualquier otro asunto. En el desempeño de estas funciones, el DPD deberá actuar de manera independiente, disponer de las herramientas necesarias para la correcta aplicación de sus funciones, manteniendo el secreto o la confidencialidad a lo largo de todo el proceso.
- c) La EIPD y el DPD
Otra de las grandes novedades del reglamento europeo son las evaluaciones de impacto relativas a la protección de datos, o EIPD.
Es el responsable del tratamiento quien debe llevar a cabo la EIPD, pero deberá solicitar el asesoramiento al delegado de protección de datos.
El contenido mínimo de la Evaluación será:
- a) Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
- b) Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento en relación con sus finalidades;
- c) Una evaluación de los riesgos para los derechos y libertades de los interesados;
- d) Las medidas previstas para hacer frente a los riesgos, incluidas las garantías, las medidas de seguridad y los mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento del RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y demás personas interesadas.
En definitiva, el DPD debe tener un papel activo, pudiendo realizar la evaluación él mismo o dando las directrices necesarias en el diseño y ejecución de la misma. Así como supervisar la correcta implantación de las medidas y decisiones que se recojan al final del proceso.
Más información:
ORTEGA GIMÉNEZ, Alfonso, “El Reglamento General de Protección de Datos de la UE en la empresa: novedades prácticas”, en Diario La Ley, en el número 15, Sección Ciberderecho, 7 de marzo de 2018, Editorial Wolters Kluwer.
Si dese descargar el currículum resuido del Profesor Alfonso Ortega Giménez puede hacerlo AQUÍ