Reglamento Europeo de Protección de Datos

In LOPD

En los últimos días casi todos nos habéis preguntado por el nuevo Reglamento General de Protección de Datos que, desde las entidades europeas, modifica la Ley Española de Protección de Datos 15/1999 e instrucciones posteriores.

Deciros que este Reglamento entra en vigor en mayo y que esperamos que haya instrucciones concretas de la Agencia de Protección de Datos sobre aspectos determinados aspectos.

Para empezar deciros que en principio no afecta específicamente a instalaciones de videovigilancia, si bien podemos adelantar que se está terminando un borrador de nueva Ley que modificará los aspectos concretos de videovigilancia y  LOPD, pero que de momento no tiene fecha de publicación.

Al final os dejaremos un enlace a un documento explicativo de los cambios que ha publicado la AEPD, pero vamos a intentar resumir de manera práctica cómo os afecta a vosotros y a vuestros clientes.

Nueva figura: Delegado de Prevención de Datos

Las entidades públicas, las empresas que traten gran cantidad de datos personales (Big Data) o aquellas que traten datos sensibles, deberán definir un Delegado de Protección de Datos. Esta figura deberá ser identificada en aquellos documentos donde se indique cómo ejercer los derechos a los usuarios.

Ampliación de información en coletillas legales

Además de la información típica, debemos incluir en las coletillas legales de recogida de datos nueva información:

  • Identificar detalladamente para qué se recogen los datos y qué se va a hacer con ellos.
  • Nuevos derechos de los afectados: portabilidad, limitación de tratamiento y derecho al olvido.
  • Identificar claramente al Delegado de Prevención de Datos, si la empresa lo tuviera.
  • Identificar claramente a qué empresas se van a proporcionar los datos recogidos, si se fueran a hacer cesiones o a establecer tratamiento de esos datos con otras empresas.
  • Duración de ese tratamiento, si es posible determinarlo.

Además deberemos mantener algún tipo de registro que nos permita demostrar que nos han autorizado, puesto que la carga de la prueba corresponde a la empresa que recoge los datos.

Consentimiento explícito: cambio en el concepto

El consentimiento que proporcione una persona para llevar a cabo un contrato (por ejemplo: para contratar los servicios médicos de un dentista) no nos da libertad para hacer lo que queramos con esos datos. Por ejemplo: salvo que le hayan autorizado expresamente a ello, ese dentista no puede usar esos datos para enviar información publicitaria.

 

Nuevo concepto: ANÁLISIS DE RIESGOS

Todas las empresas, especialmente aquellas que traten datos sensibles (salud/política/religión), deberán incluir en el documento de seguridad un apartado que explique cómo los datos personales de la empresa pueden estar en riesgo.

Cuando decimos “en riesgo” significa explicar cómo se nos ocurre que los datos pueden perderse o los datos pueden ser robados.

Ejemplos:

  • Pérdida de soportes en el traslado de datos (portátiles, discos duros externos, pendrive, pero también carpetas con documentación).
  • Robo de datos informáticos o secuestro de los mismos (cryptovirus).
  • Incendio de las instalaciones.

Por ello también nos exigen incluir cómo tenemos previsto protegernos de esos riesgos y qué medidas de seguridad tenemos para evitar que esa información pueda ser usadas por terceros, como podría ser la encriptación de los datos.

Nueva obligación: NOTIFICACIÓN DE BRECHAS DE SEGURIDAD

Se define como Brecha de Seguridad todo percance que origine la destrucción, pérdida o modificación accidental o ilícita de datos personales cedidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Incidentes como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros son consideradas violaciones de seguridad a la luz del RGPD y deben ser tratadas como el Reglamento indica.

Estas brechas se deben comunicar a la Agencia Española de Protección de Datos y los propios afectados.

 

Nueva obligación: CONTRATOS DE TRATAMIENTO DE INFORMACIÓN

Además de las obligaciones de sobra conocidas, habrá que establecer no sólo las cláusulas del trato tradicionales, sino también la motivación legal para realizarse tratamiento de datos. No se pueden ceder sin más en base a un contrato, sino que hay que identificar para qué se hace el contrato, la duración del mismo y qué se hacen con los datos una vez terminado el mismo.

Transferencia internacional de datos

La actual normativa aplicable obliga a los exportadores de datos a solicitar de la Agencia Española de Protección de Datos una autorización previa para poder transferir datos a importadores establecidos en países que no cuentan con un nivel adecuado de protección, siempre que aporten las garantías suficientes, y a notificarle las transferencias cuando se dirigen a países que sí disponen de dicho nivel adecuado o, en otro caso, se realizan al amparo de alguna de las excepciones previstas en el artículo 34 de la Ley Orgánica de Protección de Datos.

Entradas recomendadas

Leave a Comment

*