CONTROL DEL CIUDADANO SOBRE SU INFORMACIÓN PERSONAL EN MATERIA DE PROTECCIÓN DE DATOS.

Imprimir página

El pasado 25 de mayo de 2016, entró en vigor el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Pero no será de aplicación hasta el 25 de mayo de 2018, hasta entonces, las normas nacionales que la trasponen, siguen siendo plenamente válidas y aplicables.

Este Reglamento viene a derogar la anterior Directiva de 1995 que se había quedado obsoleta, el objetivo del nuevo reglamento general es dar más control a los ciudadanos sobre su información privada en un mundo de teléfonos inteligentes, redes sociales, banca por internet y transferencias globales.

Las novedades más destacadas de esta nueva regulación y que se deberán tener en cuenta, son:

Ámbito de territorial:

  • Las empresas de fuera de la UE tendrán que cumplir con el reglamento si ofrecen productos y/o servicios a ciudadanos europeos y también en el caso de que monitoricen de algún modo su comportamiento (especialmente importante en el caso de apps, redes sociales, etc…).
  • Cualquier ente que almacene y procese datos de ciudadanos de la UE debe cumplir con el reglamento independientemente de su localización.

Ámbito material:

  • El Reglamento se aplica al tratamiento automatizado y no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

Conceptos y definiciones que introduce el Reglamento Europeo:

  • Limitación del tratamiento: se podrán marcar los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro.
  • Elaboración de perfiles utilizando datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de la persona. (Big Data)
  • Seudonimización que consiste en el tratamiento de datos personales de forma que no puedan atribuirse a una persona física identificada o identificable.
  • Datos genéticos y biométricos
    • Datos personales relativos a características genéticas heredadas o adquiridas, datos que proporcionen información sobre la fisiología o la salud de personas obtenidos por análisis de muestras biológicas
    • Datos personales relativos a características físicas fisiológicas o conductuales que permiten la identificación única de personas, como imágenes faciales o datos dactiloscópicos.
  • Ventanilla única (One Stop Shop), los empresarios solo tendrán que relacionarse con un único supervisor en Europa

El consentimiento:

  • Petición del consentimiento. Debe ser proporcionado de manera libre, específica, informada y sin ambigüedades.
  • Si en el consentimiento escrito también se incluyen otros asuntos, deberá distinguirse claramente de éstos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.
  •  El interesado tendrá derecho a retirar su consentimiento en cualquier momento. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

Derechos de los usuarios:

  • Derecho de Información y Transparencia, exige a los responsables del tratamiento tomar las medidas pertinentes para proporcionar toda la información en una forma concisa, transparente, comprensible y de fácil acceso, utilizando un lenguaje claro y sencillo, y especialmente, para cualquier información dirigida específicamente a un menor.
  • Derecho al olvido mediante la rectificación o supresión de datos personales.
  • Derecho a la portabilidad de datos de un proveedor de servicios a otro.

Obligaciones del Responsable y Encargado del tratamiento:

  • Evaluación de Impacto relativa a la protección de datos. Se trata de cuál es el efecto en la privacidad del individuo de ciertos desarrollos tecnológicos. Es un análisis de riesgos. A través de ésta evaluación se consigue la protección de datos desde el diseño y por defecto.
  • Notificar una violación de seguridad en 72 horas al órgano de control, o si es de alto riesgo, al interesado.
  • Se crea una nueva figura la del Delegado de Protección de Datos para el sector público y actividades de Big Data.

Nuevos Instrumentos:

  • Protección de datos desde el diseño y por defecto.

Privacy by Design and Privacy by Default, El legislador establece como obligación a los Responsables aplicar tanto en el momento de determinar los medios de tratamiento (en el diseño) como en el momento del propio tratamiento (por defecto), medidas técnicas y organizativas apropiadas.  Asimismo podrá utilizarse un mecanismo de certificación para acreditar el cumplimiento de dichas obligaciones

  • Responsabilidad proactiva. Las empresas deben de adoptar medidas para demostrar que se está cumpliendo con el Reglamento, es decir, los responsables tienen que demostrar la carga de la prueba. Esto da lugar a un capítulo entero de medidas y obligaciones prácticas, que será la parte que más contribuya a proteger los datos.
  • Código de Conducta, los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán la elaboración de Códigos Éticos destinados a que se adhieran tanto los responsables y encargados a quienes les aplica el Reglamento como a aquellos a quienes no les aplica.
  • Certificaciones y Sello Europeo de Protección de Datos, los mismos miembros promoverán la creación de mecanismos de certificación, sellos o marcas de protección con objeto de demostrar el cumplimiento del Reglamento. Se prevé la creación de un Sello Europeo de Protección de Datos aprobado por el Comité Europeo de Protección de Datos.

Transferencias Internacionales:

  • Podrán, realizarse transferencias a aquellos países cuando la Comisión haya decidido que garantiza un nivel de protección adecuado, sin que dicha transferencia requiera ninguna autorización específica. Se tendrá en cuenta los derechos humanos, libertades fundamentales, la legislación vigente, existencia y funcionamiento de una o varias autoridades de control etc.
  • Asimismo, para la realización de transferencias que se realicen con base a cláusulas contractuales tipo, códigos de conducta o normas corporativas vinculantes debidamente aprobadas por la Comisión Europea, el Comité Europeo de Protección de Datos o la Agencia de Protección de Datos según corresponda, tampoco se requerirá autorización.

Infracciones:

Bajo el nuevo reglamento violaciones como la falta de consentimiento para la utilización de datos como la transferencia internacional de datos no autorizada pueden suponer multas de hasta 20 millones de euros o el 4% de la facturación de una empresa.

 

Mencionar que el Reglamento incluye nuevas normas mínimas sobre el uso de datos para fines judiciales y policiales. El Parlamento también ha aprobado la directiva sobre registro de datos de pasajeros (PNR).

Por todo ello, desde el departamento legal de PLANA ABOGADOS & ECONOMISTAS, les recomendamos revisar la implementación actual de su empresa en materia de protección de datos, a fin de ir adaptando el nuevo reglamento aprobado, a medida que se vayan publicando por parte de la Agencia española de Protección de Datos las guías y recomendaciones.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Enquire here

Give us a call or fill in the form below and we'll contact you. We endeavor to answer all inquiries within 24 hours on business days.
[contact-form-7 404 "No encontrado"]