Reglamento General de Protección de Datos: Un cambio en la

Anuncio
Tecnologías de la Información
Madrid, mayo de 2016
Reglamento General de Protección de Datos: Un cambio en la
gestión de la privacidad
Finalmente, tras más de cuatro años de trabajos, el Reglamento General de Protección de Datos (“RGPD”) fue publicado ayer, 4 de
mayo, en el Diario Oficial de la Unión Europea (“DOUE”). De acuerdo a lo indicado en su artículo 99, la nueva norma será aplicable
a partir del 25 de mayo de 2018.
Cada nuevo paso en la tramitación del RGPD ha venido seguido de comentarios, opiniones, guías y otros documentos de los
principales grupos y organismos con funciones o responsabilidades en la materia. La búsqueda de “General Data Protection
Regulation” en Google nos muestra 195.000 resultados. Por supuesto, tiene una entrada en Wikipedia. Esto prueba el interés que
despierta el citado cuerpo legal no sólo en entornos especializados, sino también entre los ciudadanos, y por supuesto, entre las
empresas que estarán obligadas al cumplimiento de la nueva norma.
Ahora, con la versión definitiva del RGPD en nuestras manos, debemos plantearnos cómo implementar dicha norma en la práctica
en el plazo de dos años. Esta tarea no resulta sencilla, sobre todo si tenemos en cuenta que el RGPD incluye artículos a los que se ha
dado una “redacción de consenso” que permite mantener normativas nacionales vigentes (habrá que ver cómo se articula la
existencia de la legislación nacional con el reglamento europeo y el principio de igualdad) y de remisiones a actos delegados.
Se ha repetido en muchas ocasiones que los principios de protección de datos recogidos en el RGPD son los mismos que los de la
Directiva 95/46/CE (de hecho, lo son desde los primeros textos internacionales aprobados sobre protección de datos). Sin embargo,
con la nueva norma variarán detalles técnicos importantes, sobre los que se ha discutido en estos años y se continuará discutiendo
en los siguientes: la forma en la que se regula el consentimiento (no parece que el consentimiento tácito siga siendo válido); los
nuevos derechos de los titulares de los datos, como el derecho a la portabilidad; los matices que se introducen con las referencias a
anonimización y pseudoanonimización, etc.
Con todo, si tenemos que destacar algo del RGPD no son estas cuestiones técnicas, que quedan para su análisis en artículos
doctrinales. Lo fundamental es que variará el enfoque y la forma de trabajo no sólo de las empresas sino también de las
autoridades de protección de datos (que, por cierto, se enfrentan a la aplicación de los complejísimos mecanismos de coherencia
previstos en el RGPD y a la resolución de la avalancha de dudas y consultas que generará la nueva norma, que deben ser respondidas
de forma uniforme).
Muchas organizaciones deberán gestionar la privacidad de una forma distinta a como lo hacían hasta ahora. El texto legal en
cuestión da importancia a la documentación y a los registros que prueben el cumplimiento, a las evaluaciones de impacto previas al
tratamiento, a tener en cuenta la privacidad desde el inicio del diseño de aplicaciones y sistemas, etc. Esto supone asignar recursos
especializados al cumplimiento del RGPD con tareas definidas que ocuparán buena parte de su horario laboral (quien se encargue de
la protección de datos habrá de ser un experto en estos temas y difícilmente podrá compatibilizar sus responsabilidades con otras
funciones). En definitiva, las entidades de cierto tamaño o de ciertos sectores, aunque no estén obligadas a nombrar un “Data
Protection Officer”, lo tendrán en la práctica. También implica revisar los tratamientos efectuados y procedimentar de forma lógica y
ordenada todo lo relacionado con los mismos.
La autoridad de protección de datos de Reino Unido, la Information Commissioner's Office (“ICO”) ha publicado una interesante guía
para prepararse para el RGPD en 12 pasos. Este documento, lleno de recomendaciones de sentido común, aconseja como paso
número 2 realizar una auditoría de flujos de datos.
El RGPD no podrá cumplirse sin conocer qué datos se tratan, de dónde provienen, dónde se almacenan y con quién se comparten.
Por eso, antes de empezar a discutir si se admitirá o no el consentimiento tácito o qué significa eso de “pseudoanimización”,
cualquier empresa debería plantearse dos cuestiones. La primera es si los ficheros que ha registrado en la Agencia Española de
Protección de Datos se corresponden con los tratamientos que se llevan a cabo realmente. La segunda se refiere a si han
identificado correctamente todos los sistemas y archivos en papel donde su organización almacena datos de carácter personal. En
el supuesto de respuesta afirmativa a ambas preguntas, el cumplimiento de una de las principales obligaciones del RGPD, la de
documentación de tratamientos (artículo 30), resultará menos compleja. Además, se dispondrá de los conocimientos necesarios
para planificar el cumplimiento del resto de obligaciones. En caso contrario, el periodo de adaptación de dos años a buen seguro
parecerá corto.
Consulte el texto completo del Reglamento General de Protección de Datos publicado en el Diario Oficial de la Unión Europea el 4
de mayo de 2016 en español y en inglés.
ENLACES ÚTILES
1.
Guías y documentos publicados por Autoridades de Protección de Datos
 Guía práctica “Preparing for the General Data Protection Regulation (GDPR): 12 steps to take now”. Information
Commissioner’s Office (Reino Unido): versión en inglés.
 Información general sobe el proyecto de Reglamento Europeo de Protección de Datos. Commission Nationale de
l'Informatique et des Libertés (Francia): versión en francés.
 Folleto informativo “Datenschutz Grundverordnung”. Die Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit (Alemania): versión en alemán.
2.
Unión Europea


3.
Página de la Comisión Europea dedicada a la reforma en material de protección de datos: versión en inglés.
Consejo Europeo: Infografía sobre el nuevo reglamento: versión en español.
Notas de prensa




Nota de prensa publicada por la autoridad francesa de protección de datos “Comission nationale de l’informatique et
des libertés”: versión en francés.
Nota de prensa publicada por la autoridad italiana de protección de datos “Garante per la protezione dei dati
personali”: versión en italiano.
Nota de prensa publicada por la autoridad de protección de datos de Reino Unido “Information Commissioner's
Office”: versión en inglés.
Nota de prensa publicada por la Asociación Profesional Española de Privacidad: versión en español.
Más Información
Norman Heckh
Socio
nheckh@ramoncajal.com
www.ramonycajalabogados.com
© 2011 Ramón y Cajal Abogados, S.L.
María Luisa González Tapia
Abogado Senior
mlgonzalez@ramoncajal.com
Almagro, 16-18
28010 Madrid
T +34 91 576 19 00
F +34 91 575 86 78
Caravel•la La Niña, 12, 6ª planta
08017 Barcelona
T +34 93 494 74 82
F +34 93 419 62 90
Emilio Arrieta, 6 1º Derecha
31002 Pamplona
T +34 94 822 16 01
Descargar