PRIMERAS IMPLICACIONES PRÁCTICAS DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS
El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD). Aunque no comenzará a aplicarse hasta el 25 de mayo de 2018, es importante que las empresas vayan adaptando sus procesos, ya que la nueva normativa supone una gestión distinta de la que se viene empleando.
La Agencia Española de Protección de Datos (AEPD) ha realizado un análisis de las implicaciones prácticas que conviene que las entidades conozcan para afrontar el momento en el que el RGPD sea aplicable.
1. El consentimiento tácito ya no será válido
El Reglamento requiere el consentimiento expreso para al tratamiento de datos personales. Esto excluye la utilización del llamado consentimiento tácito, que actualmente permite la normativa española.
Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando los criterios fijados por el propio Reglamento.Por tanto, la Agencia aconseja que las organizaciones que en estos momentos utilizan el llamado consentimiento tácito como base para los tratamientos comiencen tanto a revisar los consentimientos ya obtenidos para adecuarlos al Reglamento como a utilizar mecanismos acordes con la nueva legislación.
A partir de mayo de 2018, sólo tendrán legitimación suficiente los tratamientos basados en el consentimiento expreso, con independencia de cuándo se haya obtenido ese consentimiento.
2. Información
En materia de información el RGPD incluye cuestiones adicionales que actualmente no son requeridas por la normativa española. En concreto, cuando los datos se recaben del propio interesado, deberá facilitarse la siguiente información:
- La identidad y los datos de contacto del responsable y, en su caso, de su representante;
- Los datos de contacto del delegado de protección de datos, en su caso;
- Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
- En su caso, los intereses legítimos del responsable o de un tercero para el tratamiento de los datos;
- Los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
- en su caso, la intención del responsable de transferir datos personales a un tercer país y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o 49 del RGPD, referencia a las garantías adecuadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
- el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
- la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
- La existencia del derecho a retirar el consentimiento en cualquier momento.
- el derecho a presentar una reclamación ante una autoridad de control;
- la existencia de decisiones automatizas, incluida la elaboración de perfiles, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Cabe plantearse, por tanto, qué va a suceder con todas las cláusulas informativas utilizadas con anterioridad a mayo de 2018 una vez que el Reglamento sea de aplicación.
Por tanto, el periodo transitorio debería ser utilizado por las empresas para realizar una adaptación progresiva al RGPD, incluyendo la adaptación de sus políticas de privacidad.
3. Evaluaciones de impacto sobre la protección de datos
La realización de Evaluaciones de Impacto sobre la protección de datos –aplicables de forma obligatoria en ciertos tratamientos- tiene carácter previo a la puesta en marcha de los mismos y tiene como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos.
La AEPD considera que no debería esperarse a la fecha en que la realización de las evaluaciones resulte obligatoria para comenzar a utilizar esta herramienta, ya que requiere de preparación, elección de la metodología adecuada, identificación de los equipos de trabajo y otra serie de condiciones que no pueden improvisarse.
Comenzar a incorporar este sistema a la actuación no sólo va a permitir estar en mejores condiciones en el momento en que el RGPD resulte obligatorio, sino que también permitirá asegurar el cumplimiento de la actual normativa.
4. Delegados de protección de datos. Certificación
El Reglamento requiere que los Delegados de Protección de Datos (DPD) sean nombrados en función de sus cualificaciones profesionales, en especial su conocimiento en materia de protección de datos, y su capacidad para el desempeño de sus funciones.
Sin embargo, no establece específicamente cuáles han de ser esas cualificaciones profesionales ni tampoco el modo en que podrán demostrarse ante las organizaciones que deban incorporar esta figura.
La Agencia considera que no es oportuno establecer un sistema de certificación de Delegados de Protección de Datos que opere como requisito para el acceso a la profesión.
En este momento, ya existe una oferta de certificaciones y titulaciones que respaldan conocimientos, experiencia o práctica en el ámbito de la protección de datos. En este sentido, José María Baños, socio fundador de Letslaw cuenta con la Certificación APEP ACP (APEP-Certified Privacy) como Consultor Jurídico otorgada por la Asociación Profesional Española de Privacidad (APEP), primera certificación destinada a Delegados de Protección de Datos (DPO) y adaptada al nuevo Reglamento General de Protección de Datos.
5. Contratos de encargo de tratamiento
El Reglamento describe un contenido mínimo de los contratos de encargo de tratamiento que excede las previsiones contempladas en la actual Directiva de protección de datos. En el caso español, la LOPD ya contempla la inclusión de algunos de esos contenidos en los contratos, aunque hay diferencias entre esta y en RGPD en relación a los requisitos fijados.
Este momento de transición entre la entrada en vigor y la aplicación del RGPD debería aprovecharse para llevar a cabo dos acciones paralelas: (i) abordar la revisión de los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, de forma que en mayo de 2018 sean compatibles con las disposiciones del RGPD y (ii) comenzar a incluir en las nuevas cláusulas contractuales todos los elementos que el RGPD considera necesarios.
La AEPD está trabajando en la preparación de unas recomendaciones para los contratos de encargo que puedan servir de orientación en esta primera etapa para que las empresas respondan a los nuevos requerimientos.
Letslaw es un despacho de abogados especializado en protección de datos y derecho digital.
Letslaw es una firma de abogados internacionales especializada en el derecho de los negocios.