Jornada informativa del Reglamento Europeo de Protección de Datos. Novedades Reglamento
La Asociación Nacional de Expertos en Derecho TIC (ENATIC) celebra en el salón de Actos del Consejo General de la Abogacía Española, en Pº Recoletos, la «Jornada sobre del Reglamento de Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos» con la finalidad de acercar las novedades reglamento y nuevas perspectivas que genera esta nueva norma. http://www.enatic.org/jornada-enatic-reglamento-proteccion-datos/
El primer bloque de la Jornada ha sido conducido por D. José Luis Piñar Manas, Director de la Cátedra Google y ex-Director de la Agencia Española de Protección de Datos, que ha analizado las principales novedades legislativas del Reglamento, que entrará en vigor a los 20 días de su publicación, previsiblemente en el primer semestre, pero que no será aplicable hasta dos años después de la fecha de su entrada en vigor.
A pesar de que no será aplicable hasta dos años después de su entrada en vigor, los Estados Miembros no podrán aprobar normas estatales contrarias al Reglamento ya que resulta de aplicación directa.
Tal y como ha indicado D. José Luís Piñar, es la primera vez que un Reglamento Europeo desarrolla un derecho fundamental reconocido en nuestra constitución y desarrollado por una Ley Orgánica, por lo que una de las cuestiones que inciátivamente se plantean es la relación existente entre el Reglamento y la LOPD. ¿El Reglamento anula la LOPD? ¿Conviven? Para dar respuesta a esta cuestión debemos partir de lo establecido en el articulo 2.2.a) del Reglamento que establece que no será de aplicación a los tratamientos de datos no comprendidos dentro del ámbito del derecho de la Unión. Es cierto que serán muy pocas las materias excluidas del ámbito de aplicación del Reglamento, pero podemos afirmar que el Reglamento no desplaza totalmente a nuestra LOPD. Además hay que tener en cuenta que el RGPD en determinadas materias deriva a las legislaciones estatales.
El objeto de la norma es proteger a las personas físicas en lo que concierne al tratamiento de su datos y la libre circulación de dichos datos por la UE. En este punto resaltamos que esta es una de las normas comunitarias que más presiones ha sufrido por parte de los lobbys, estados, autoridades de control en toda la historia de la UE, lo que ha generado mucha dificultad para su aprobación y prueba de ello es que el primer borrador del reglamento data del 2012.
Algunas de las novedades reglamento destacadas en la Jornada son:
a) Aplicación extraterritorial: Aplicación del RGPD a tratamientos que se lleven a cabo fuera de la UE (Artículo 3.2. RGPD). Ello tendrá gran importancia en el ámbito de la publicidad compartimental.
b) Consentimiento libre e inequívoco: El consentimiento para el tratamiento de datos se relizará mediante una declaración o una clara acción afirmativa para el tratamiento. El responsable deberá acreditar no sólo que la persona consiente, sino que además deberá probar qué consiente.
c) Principio de «Accountability« (Art. 24 RGPD). Este principio supone el acercamiento a los modelos anglosajones. Implica que el responsable del fichero deberá aplicar las medidas necesarias y adecuadas para que el tratamiento se adecúe a lo establecido al reglamento. Esto provocará que el responsable deba verificar que se están aplicando las normas de protección de datos correctas y adecuadas en relación al tratamiento de datos realizado, lo que obligará a los responsables a ser más proactivos. La figura de Delegado de Protección de Datos entra dentro de la accountability.
d) «Privacy by design» Cuando se diseña un aplicativo o programa que implique el tratamiento de datos de carácter personal se deberán tener en cuenta en el momento del desarrollo que el mismo cumple las medidas exigidas en el Reglamento. Se tiene que garantizar la privacidad en el diseño y desarrollo del software. Las normas de protección de datos deben estar presentes cuando se realiza el análisis de una aplicación.
e) «Privacy by default» Si diseñamos un aplicativo o red social debemos configurar la privacidad por defecto de la forma más estricta, siendo el usuario el que modifique su perfil si desea ampliar la información que suministra.
f) Derecho de portabilidad: Este derecho hará feliz a millones de usuarios que perdían sus datos cuando cambiaban de prestador de servicio. Si el usuario cambia de prestador podrá solicitar la devolución de su información en un formato de uso común. Actualmente hay ya prestadores que prevén la transmisión, portabilidad, de correos-e.
g) «Derecho al olvido»: El titular del dato tendrá derecho a que se supriman sus datos de carácter personal suministrados a través de la red o que se encuentren en Internet sin dilación indebida.
f) Situaciones específicas de tratamiento: Concilación del derecho a la PD y el derecho a la libertad de información (Art. 85 RGPD), tratamiento de datos en el ámbito laboral, etc.
g) Nuevas obligaciones del responsable del tratamiento: Registro de actividades de tratamiento por parte del responsable y el encargado del tratamiento que debe estar a disposición de la autoridad de control, obligación de notificar las violaciones de seguridad sin dilación a las autoridades de control antes de 72 horas y en determinadas ocasiones a los titulares de los datos (Art. 33 RGPD)…
h) Eliminación de la obligación de notificar los ficheros en el Registro General de la Agencia Española de Protección de Datos
i) La figura del Delegado de Protección de Datos (DPO): El responable del fichero y el encargado deberán designar un DPO: si es una administracion pública u organismo público o cuando se traten a gran escala datos de categorías especiales o especialmente protegidos.
j) Certificaciones
k) Cooperacion entre autoridades de proteccion de datos: Existencia de autoridad competente y autoridades interesadas.
l) Multas al sector privado y a las administraciones públicas
Por su parte Javier Puyol, en la mesa redonda»Perspectiva y evolución de la protección de datos: Proyección de futuro» ha destacado que queda mucho por hacer porque esta norma no está orientada a su aplicación en las pequeñas y medianas empresas y autónomos que constituyen el 95% del tejido empresarial español y delega en el propio responsable del fichero o encargado del tratamiento la obligación de selección de las medidas idóneas a implantar con respecto a los tratamientos de datos realizados, lo que genera inseguridad jurídica al eliminar unas medidas objetivas y sustituirlas por otras subjetivas a implantar a criterio de los empresarios. ¿Pero la cultura de protección de datos es tan profunda como para dejar en manos de los responsables la facultad de selección de las medidas? ¿No puede suponer una merma de la protección de los titulares de los datos?
En AIXA CORPORE estaremos para ayudarle.