TODO LO QUE HA CAMBIADO EN LA PROTECCIÓN DE DATOS (III)
13 Jun

TODO LO QUE HA CAMBIADO EN LA PROTECCIÓN DE DATOS (III)

0 Comentarios

Desde el viernes 25 de mayo, todas las empresas y organizaciones, públicas o privadas, tendrán que aplicar el nuevo Reglamento General de Protección de Datos (RGPD), ya que no existe ningún periodo transitorio o de gracia adicional. Esta norma europea, que unifica las diferentes leyes nacionales que había hasta el momento, mantiene parte de la normativa que estaba en vigor, pero contiene obligaciones que no existían hasta la fecha. También se aplicará una nueva Ley de Protección de Datos, cuya reforma está en tramitación, que especificará y complementará ciertas partes del RGPD, pero sin modificarlo.

En esta serie de artículos, basados en el publicado por EXPANSIÓN, se detallan las 20 claves del Reglamento y del nuevo escenario, elaboración que ha contado con contenidos de Apuntes & Consejos de Indicator y de RSM Spain

En esta tercera entrega de la serie trataremos:

  • Brechas de seguridad
  • Información y consentimiento
  • Cesión de datos a terceros
  • Identificación y documentación
  • Datos en la nube
  • Videovigilancia
  1.   Brechas de seguridad

Antes de la entrada en vigor del RGPD, la obligación de notificar las brechas de seguridad o violaciones de seguridad se limitaba a los opera- dores de servicios de comunicaciones electrónicas disponibles al público. Ahora se entenderá que existe una brecha de seguridad en aquellos casos en los que la violación de la seguridad ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Los responsables de tratamiento de datos de carácter personal estarán obligados a notificar a la autoridad de control de aquellas brechas de seguridad que constituyan un riesgo para los derechos y las libertades de las personas físicas. En aquellos casos en los que la empresa determine que la brecha de seguridad constituya un riesgo para los derechos y libertades de las personas físicas, deberá, en to- do caso, proceder a su notificación a la autoridad de control sin dilación indebida y, a más tardar, 72 horas después de que haya tenido constancia de ella. Si dicha notificación no es posible en el plazo de 72 horas, deberá acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida. Como mínimo, esta notificación deberá contener una descripción de la naturaleza de la violación de seguridad (incluyendo, cuando sea posible, las categorías y número aproximado de afectados y de registros de datos persona- les afectados), así como los detalles de contacto del DPD de la empresa, las posibles consecuencias de la brecha de seguridad y las medidas de seguridad adoptadas o propuestas por el responsable del tratamiento.

  1. Información y consentimiento

Si la empresa obtiene datos persona- les (de clientes, trabajadores, usuarios de su página web, etc.), está obligada a informar al interesado de los tratamientos o usos que va a realizar con esos datos. La obligación de in- formar corresponde a su empresa si actúa como responsable del trata- miento. Este derecho de información de los interesados es esencial, ya que pretende que el afectado pueda prestar su consentimiento (específico, informado e inequívoco) para que se traten sus datos personales, y que pueda ejercer los derechos de acceso, rectificación, limitación al tratamiento, supresión, portabilidad y oposición que la normativa reconoce a los interesados. Básicamente, usted debe informar a los interesados (a continuación, le indicamos cuándo debe hacerlo).

a) Cuándo obtener la información. - Si la empresa obtiene los datos directamente del propio interesado, debe proporcionarle la información indicada en el momento en el que solicite sus datos, previamente a su recogida o registro. En cambio, si obtiene los datos de personas distintas al interesado (por ejemplo, por una cesión legítima de datos), debe infor- mar al interesado de esa recogida de datos en un plazo razonable, pero, en cualquier caso, antes de un mes des- de que se obtuvieron los datos personales o, en su defecto, en la primera comunicación con el interesado. 

b) Cómo obtener el consentimiento informado. - Para que se pueda tratar lícitamente los datos personales de sus clientes (o de cualquier otra categoría de interesados), es necesario que, además de informarles en los términos indicados, solicite y obtenga su consentimiento previo e inequívoco. Así, se elimina el consentimiento tácito (por silencio), lo que obligará a las empresas a recabar un nuevo con- sentimiento para poder mantener todos aquellos datos que en el pasa- do se obtuvieron tácitamente o buscarles otra cobertura legal. A estos efectos, se entiende que existe dicho consentimiento inequívoco cuando éste se ha prestado mediante una declaración o una clara acción afirmativa del interesado. A diferencia de la normativa anterior, con el RGPD ya no se admiten formas de consentimiento tácito o por omisión, ya que éstas se basan en la inacción del interesado. Puede suceder que su empresa esté tratando unos datos per- sonales desde antes de la aplicación del RGPD, y que lo haga sobre la base del consentimiento del afectado.  Pues bien, en este caso dicho con- sentimiento sigue siendo válido, pe- ro sólo si se prestó de la forma en que exige el RGPD, es decir, sólo si se prestó mediante una declaración o acción afirmativa del afectado. 

c) Revocación. - El afectado tiene derecho a revocar su consentimiento en cualquier momento y a través de un medio sencillo y gratuito. La retirada del consentimiento no afecta al tratamiento de los datos que se haya realizado anteriormente, pues éste se basó en el consentimiento prestado antes de su retirada. 

  1. Cesión de datos a terceros

No toda comunicación o revelación de datos a un tercero implica una cesión de datos a efectos legales. En es- te sentido, cabe distinguir dos su- puestos: la cesión de datos propia- mente dicha y el acceso a datos para la prestación de un servicio. Habrá una cesión de datos si el tercero que los recibe puede aplicarlos a sus pro- pias finalidades, decidiendo sobre el objeto y finalidad del tratamiento.  En cambio, si quien recibe los datos se limita a efectuar determinadas operaciones sobre ellos, pero no decide sobre su finalidad, existirá un acceso a datos para la prestación de un servicio. 

  • Requisitos Para ceder datos de forma lícita, la  empresa deberá contar con el con- sentimiento previo, específico e inequívoco de los titulares de dichos da- tos; que la cesión sea necesaria para  la ejecución o desarrollo de una relación contractual; que constituya una  obligación legal para el cedente; que  obedezca a intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos,  y que sirva para salvaguardar el interés vital del interesado o de otras  personas.  La realización de una prestación de servicios con acceso a datos re- quiere la existencia de un contrato escrito que establezca expresamente las obligaciones del encargado del tratamiento. Con el RGPD, la responsabilidad última sobre el tratamiento sigue estando atribuida al responsable, que es quien determina la existencia del tratamiento y su finalidad. Ahora bien, el RGPD introduce cambios importantes en las relaciones responsable-encargado que su empresa deberá tomar en consideración independientemente de la posición que ocupe en el tratamiento de los datos.  Si la empresa es la responsable, tendrá que elegir únicamente encargados que ofrezcan garantías suficientes de que aplicarán medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con el RGPD. Este requisito también se aplica a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados. Es aconsejable que exija una declaración por escrito de dicho en- cargado conforme cumplirá las exigencias del RGPD y que le solicite, además, una prueba del cumplimiento del RGPD antes de firmar el contrato y durante su vigencia.  Si, en cambio, la empresa es el encargado del tratamiento, hay que considerar la necesidad o conveniencia de mantener un registro de las actividades del tratamiento. La empresa tendrá que determinar las medidas de seguridad aplicables a los tratamientos que realice. Deberá designar un delegado de protección de datos en los casos previstos por el RGPD. Si destina los datos a una finalidad distinta a la establecida en el contrato suscrito con el responsable (o si los comunica o utiliza incumpliendo las estipulaciones de dicho contrato), responderá de las infracciones, pues se le considerará un responsable del tratamiento a estos efectos. Respecto a los contratos entre responsable y encargado firmados con anterioridad al 25 de mayo, el proyecto de nueva Ley de Protección de Datos prevé que sigan vigentes hasta su vencimiento, y si son de duración indefinida, hasta mayo de 2022. 
  1. Identificación y documentación

En materia de protección de datos personales, un fichero es todo con- junto organizado de datos de carácter personal, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y ac- ceso. Con el nuevo Reglamento ya no deberá notificarse la creación de estos ficheros de datos personales para su inscripción en el Registro General de Protección de Datos de la AEPD, como sí era obligatorio hasta ahora.  El tratamiento de datos persona- les es cualquier operación o conjunto de operaciones que se realicen sobre datos personales, ya sea por procedimientos automatizados o no.  Con la nueva normativa, debe identificar los tratamientos de datos personales que realice para mantener un registro de actividades del trata- miento (si estuviera obligado). 

  1. Datos en la nube

Si se almacenan en los servidores del proveedor de cloud datos personales de terceros, deben tomarse precauciones, pues no todos los proveedores cumplen con los requisitos. Si el servidor en el que se almacenarán los datos está ubicado en España, hay que asegurare de que en el con- trato el proveedor se compromete a no aplicar o utilizar los datos con fines distintos y que implantará medidas adecuadas al nivel de riesgo del tratamiento de datos, evitando que se destruyan, alteren o se acceda sin autorización. Si el servidor se localiza fuera de España, pero dentro del Espacio Económico Europeo-EEE (UE e Islandia, Liechtenstein y No- ruega), se debe verificar que se menciona el cumplimiento de las leyes del país en cuestión. Dado que la normativa europea está armonizada, no habrá necesidad de requerir garantías adicionales. En caso de ubicación fuera del EEE, por ejemplo, en EE. UU., asegúrese de que su proveedor está suscrito a los principios de “escudo de privacidad” (privacy shield). La UE reconoce este sistema como seguro.

  1.   Videovigilancia

Las cámaras no podrán obtener imágenes de espacios públicos, salvo que ello sea inevitable. Así, una cámara situada en la puerta principal o de entrada o salida de personas no deberá tomar imágenes de toda la calle en la que se encuentre. La colocación de cámaras debe respetar el principio de proporcionalidad y el derecho a la intimidad. Por tanto, no deben colocarse de forma que capten imágenes en zonas privadas (como en los vestuarios de sus trabajadores), sólo en aquellas zonas donde razonablemente puedan cumplir con su finalidad. Asimismo, es necesario que se informe de la colocación de las cámaras con un cartel explicativo situado en un lugar visible de las zonas videovigiladas, en el que se infor- me, como mínimo, de la identidad de su empresa y la posibilidad de ejercitar los derechos que el RGPD reconoce a los interesados. Si las cámaras van a estar conectadas a una central de alarmas, será necesario que este servicio lo preste una empresa de seguridad privada. Si el sistema de videovigilancia instalado en la empresa graba las imágenes, deberá conservarse la grabación durante un plazo máximo de un mes, aunque podrán conservarse más tiempo si fuera necesario para acreditar la co- misión de actos que atenten contra la integridad de personas, bienes o instalaciones. 

Fuente: Diario Expansión

Autor: Mercedes Serraller