Agencia española de protección de datos

Le Règlement de protection de données en 12 questions

Le Règlement Général de Protection de Données a entré en vigueur le 25 mai 2016. L'AEPD a élaboré ce document simplifié, qu'il suit le format il demande-réponse, pour faciliter la compréhension du nouveau cadre normatif aux citoyens et aider aux organisations à se adapter aux changements qu'il incorpore et accomplir ainsi avec ses obligations.

1. L'entrée en vigueur du Règlement, suppose que déjà il ne s'applique pas la Loi Organique de Protection de Données espagnole?

Ne. Le Règlement a entré en vigueur le 25 mai 2016 mais il ne commencera pas à se appliquer jusqu'à deux ans après, le 25 mai 2018. Jusqu'alors, autant la Dirigeante 95/46 comme les normes nationales que la trasponen, entre elles l'espagnole, continuent à être pleinement valables et applicables.

2. Quel est, alors, la signification de que le Règlement ait entré en vigueur?

La période de deux ans jusqu'à l'application du Règlement a pour objectif de permettre que les États de l'Union européenne, les Institutions Européennes et aussi les organisations qui traitent données allez en se préparant et en s'adaptant pour le moment en que le Règlement soit applicable.

Dans ces deux ans, par exemple, les Été membres peuvent adopter ou créer l'élaboration de déterminées normes que soient nécessaires pour permettre ou faciliter l'application du Règlement. Ces normes ne peuvent pas être contraires aux dispositions de l'en vigueur Directive ni non plus aller au-delà des pouvoirs d'action normative que le propre Règlement il prévoit de forme explicite ou implícita.

3. À des quelles entreprises ou des organisations il s'applique?

Le Règlement s'appliquera comme jusqu'à maintenant à des responsables ou chargés de traitement de données établies en l'Union européenne, et il s'élargit à des responsables et chargés n'établis dans l'UE à condition que réalisent des traitements dérivés d'une offre de biens ou services destinés à des citoyens de l'Union ou à la suite d'une monitorización et suivi de son comportement.

Pour que cet agrandissement du milieu d'application puisse se faire effective, ces organisations ils devront nommer un représentant en l'Union européenne, qu'il agira comme point de contact des Autorités de supervision et des citoyens et que, en cas nécessaire, pourra être destinataire des actions de supervision qu'ils développent ces autorités. Les données de contact de ce représentant dans l'Union devront se fournir aux intéressés entre l'information relative aux traitements de ses données personnelles.

4. Qu'est-ce que il implique pour les citoyens que le Règlement il élargisse le milieu d'application territoriale?

Cette nouveauté suppose une garantie additionnelle aux citoyens européens. Dans l'actualité, pour traiter données n'est pas nécessaire maintenir une présence physique sur un territoire, par ce que le Règlement prétend adapter les critères qu'ils déterminent des quelles entreprises ils doivent l'accomplir à la réalité du monde d'internet.

Cela permet que le Règlement soit applicable à des entreprises que, jusqu'à maintenant, pouvaient être en train de traiter des données de personnes dans l'Union et, pourtant, se régissaient par des réglementations d'autres régions ou pays que ne toujours offrent le même niveau de protection que la réglementation européenne.

5. Quel nouveaux outils de contrôle de ses données ils possèdent les citoyens?

Le Règlement introduit des nouveaux éléments, comme le droit à l'oubli et le droit à la portabilidad, qu'améliorent la capacité de décision et contrôle des citoyens sur les données personnelles qu'ils confient à troisièmes.

Le droit à l'oubli se présente comme la conséquence du droit qu'ils ont les citoyens à solliciter, et obtenir des responsables, que les données personnelles soient supprimées lorsque, entre autres cas, ceux-ci déjà ne soient pas nécessaires pour la finalité avec laquelle ont été ramassés, lorsqu'il se soit retiré le consentement ou lorsque ceux-ci se soient ramassés de forme illicite. Également, selon la sentence du Tribunal de Justice de l'Union européenne de 13 mai de 2014, qu'a reconnu par première fois le droit à l'oubli ramassé maintenant dans le Règlement européen, suppose que l'intéressé peut solliciter qu'ils se bloquent dans les listes de résultats des moteurs de recherche les liens qui conduisent à des informations que lui affectent qu'ils résultent obsolètes, incomplètes, fauses ou irrelevantes et ne soient pas d'intérêt public, entre autres motifs.

Pour sa part, le droit à la portabilidad implique que l'intéressé qu'ait fourni ses données à un responsable que les soit en agissant de façon automatisée pourra solliciter récupérer ces données dans un format que lui permette son déplacement à un autre responsable. Lorsque cela soit techniquement possible, le responsable devra trasferir les données directement au nouveau responsable désigné par l'intéressé.

6. À quel âge ils peuvent les mineurs prêter son consentement pour le traitement de ses données personnelles?

Le Règlement établit que l'âge dans laquelle les mineurs ils peuvent prêter par soi mêmes son consentement pour le traitement de ses données personnelles dans le milieu des services de la société de l'information (par exemple, réseaux sociaux) il est de 16 ans. Pourtant, il permet rebajar cet âge et que chaque Été membre établisse la à elle propre, en établissant une limite inférieure de 13 ans. Dans le cas de l'Espagne, cette limite continue en 14 ans. Par en dessous de cet âge, est nécessaire le consentement de pères ou tuteurs.

Dans le cas des entreprises que recopilen données personnelles, est importante rappeler que le consentement doit être vérifiable et que l'avis de caractère privé doit être écrit dans un langage que les enfants ils puissent comprendre.

7. Qu'est-ce que il implique la responsabilité active ramassée dans le Règlement?

Un des aspects essentiels du Règlement est qu'il se base sur la prévention par part des organisations qu'ils traitent des données. Il est ce que il se connaît comme responsabilité active. Les entreprises doivent adopter des mesures qu'ils assurent raisonnablement qu'ils sont en des conditions d'accomplir avec les principes, droits et garanties que le Règlement il établit. Le Règlement comprend qu'agir seulement lorsqu'il s'est déjà produit une infraction il est insuffisante comme stratégie, étant donné que cette infraction peut causer des dommages aux intéressés que peuvent être très difficiles de compenser ou réparer. Pour cela, le Règlement prévoit une batterie complète de mesures:

- Protection de données depuis la création

- Protection de données par défaut

- Mesures de securité

- Entretien d'un registre de traitements

- Réalisation d'évaluations d'impact sur la protection de données

- Nomination d'un délégué de protection de données

- Faire-part de violations de la sécurité des données

- Promotion de codes de conduite et schémas de certification.

8. Alors, il suppose une majeure charge d'obligations pour les entreprises?

Le Règlement suppose un majeur engagement des organisations, publiques ou privées, avec la protection de données. Mais cela n'implique pas nécessairement ni en tous les cas une majeure charge. En beaucoup de cas il sera seulement une forme de gérer la protection de données diverse de laquelle se vient en employant maintenant.

En premier lieu, quelques des mesures qu'introduit le Règlement ils sont une suite ou ils remplacent à autrui déjà existantes, comme est le cas des mesures de securité ou de l'obligation de documentation et, dans une certaine mesure, l'évaluation d'impact et la consultation à des Autorités de supervision.

Autrui ils constituent la formalisation dans une norme légale de stages déjà très étendues dans les entreprises ou que, dans tout cas, ils feraient partie d'une correcte mise en oeuvre d'un traitement de données, comme peuvent être le caractère privé depuis la création et par défaut, l'évaluation d'impact sur protection de données en certains cas ou l'existence d'un délégué de protection de données.

En tous les cas, le Règlement il prévoit que l'obligation de ces mesures, ou la façon en qu'ils s'appliquent, il dépendra de facteurs tels comme le type de traitement, les coûts d'implantation des mesures ou le risque que le traitement il présente pour les droits et des libertés des titulaires des données.

C'est pour cela que, il est nécessaire que toutes les organisations qui traitent données ils réalisent une analyse de risque de ses traitements pour pouvoir déterminer des quelles mesures ils ont d'appliquer et comment le faire. Ces analyses peuvent être des opérations très simples en des établissements que ne mènent à terme pas plus que quelques peu de traitements simples que n'impliquent pas, par exemple, données sensibles, ou opérations plus complexes en des établissements qu'ils développent beaucoup de traitements, qu'ils affectent à grande quantité d'intéressés ou que par ses caractéristiques ils requièrent d'une estimation cuidadosa de ses risques.

Les Autorités de protection de données européennes de forme collective, et l'Agence Espagnole individuellement, nous sommes déjà en travaillant dans le développement d'outils qu'ils facilitent l'identification et estimation de risques et en des recommandations sur l'application de mesures, spécialement en relation avec des PMEs que réalisent les traitements de données plus habituelles dans la gestion des entreprises.

9. Il change la forme dans laquelle il y a qu'obtenir le consentement?

Une des bases fondamentales pour traiter données personnelles est le consentement. Le Règlement demande que le consentement, à caractère général, soit libre, informé, spécifique et inequívoco. Pour pouvoir envisager que le consentement est ?inequívoco?, Le Règlement requiert qu'il y ait une déclaration des intéressés ou une action positive qui indique l'accord de l'intéressé. Le consentement ne peut pas se déduire du silence ou de l'inaction des citoyens. 

Les entreprises devraient réviser la forme dans laquelle ils obtiennent et ils enregistrent le consentement. Stages qui s'encadrent dans l'appelé consentement tácito et que sont acceptées sous l'actuelle normative laisseront de l'être lorsque le Règlement soit d'application.

En plus, le Règlement prévoit que le consentement y ait d'être ?Explicite? Dans quelques cas, comme peut être pour autoriser le traitement de données sensibles. Il s'agit d'une condition requise une plus stricte, puisque le consentement ne pourra pas se comprendre comme accordé implícitamente moyennant quelque type d'action positive. Ainsi, il sera précis que la déclaration ou action ils se rapportent explícitamente au consentement et au traitement en question.

Il y a qu'avoir en compte que le consentement doit être vérifiable et que qui recopilen données personnelles doivent être capables de démontrer que l'affecté il leur a attribué son consentement. C'est pour cela que, il est important réviser les systèmes de registre du consentement pour que soit possible le vérifier devant un audit.

10. Ils doivent les entreprises réviser ses avis de caractère privé?

À caractère général, soi. Le Règlement prévoit qu'ils se comprennent dans l'information que se fournit aux intéressés une série de questions qu'avec la Dirigeante et beaucoup de lois nationales de trasposición n'étaient pas nécessairement obligatoires. Par exemple, y aura qu'expliquer la base légale pour le traitement des données, les périodes de rétention des mêmes et que les intéressés peut diriger ses réclamations aux Autorités de protection de données. Si ils croient qu'il y a un problème avec la forme en qu'ils sont en train de manier ses données. Il est important rappeler que le Règlement exige de forme exprime que l'information qui se fournisse soit facile de comprendre et se présenter dans un langage clair et conciso.

11. En qu'est-ce que il consiste le système de 'guichet unique'?

Ce système est pensé pour que les responsables établis dans divers Été membres ou que, en étant en un seul Été membre, faites des traitements qu'ils affectent significativement à des citoyens dans divers États de l'UE aient une unique Autorité de protection de données comme interlocutrice. il aussi implique que chaque Autorité de protection de données européenne, en  lieu d'analyser une dénonciation ou autoriser un traitement à niveau strictement national, à partir de l'application du Règlement estimera si la supposition a caractère transfrontalier, dans dont cas il y aura qu'ouvrir une procédure de coopération entre toutes les Autorités affectées en cherchant une solution acceptable pour toutes elles. Si il y a des divergences insalvables, le cas peut s'élever au Comité Européen de Protection de Données, un organisme de l'Union intégré par les directeurs de toutes les Autorités de protection de données de l'Union. Ce Comité résoudra la controverse moyennant des décisions obligatoires pour les Autorités concernées.

Ce nouveau système ne suppose pas que les citoyens doivent se lier avec diverse Autorités ou avec des Autorités diverses de la de l'État où résident. ils toujours peuvent poser ses réclamations ou des dénonciations devant sa propre Autorité nationale (dans le cas espagnol, l'Agence Espagnole de Protection de Données). La gestion sera réalisée par cette Autorité, que sera aussi responsable d'informer à l'intéressé du résultat final de sa réclamation ou dénonciation.

Le guichet unique, dans tout cas, n'affectera pas à des entreprises que seulement soient dans un Été membre et qu'ils réalisent des traitements qu'ils affectent seulement à intéressés dans cet État.

12. Ils ont les entreprises que commencer à appliquer déjà les mesures contemplées dans le Règlement?

Ne. Le Règlement est en vigueur, mais il ne sera pas applicable jusqu'à 2018.

Pourtant, peut être utile pour les organisations qu'ils traitent des données commencer déjà à estimer l'implantation de quelques des mesures prévues, à condition que ces mesures ne soyez pas contradictoires avec les dispositions de la LOPD, que continue à être la norme pour laquelle ils ont de se régir les traitements de données en Espagne.

Par exemple, les organisations ils doivent avoir en compte que à partir de mai de 2018 ils devront réaliser analyse de risque de ses traitements et que peut être utile pour elles commencer dès à présent à identifier le type de traitements qu'ils réalisent, le degré de complexité de l'analyse qu'ils devront mener à terme, etc. Dans cette tâche ils pourraient utiliser les outils et des ressources qu'ils lentement aillent en développant les Autorités de protection de données.

Également, rien empêche que les organisations commencez à planifier ou à établir le registre de traitements de données ou à implanter les évaluations d'impact ou n'importe qui autrui des mesures prévues.

De la même manière, les organisations pourraient commencer à dessiner et implanter les procédures pour notifier adéquatement aux Autorités de protection de données ou aux intéressés les banqueroutes de sécurité qui pussent il se produire.

En général, les organisations qui traitent données personnelles ils devraient commencer à préparer l'application de ces mesures, ainsi que d'autres modifications pratiques dérivées du Règlement. Par exemple, le Règlement exige que les responsables de traitement facilitez aux intéressés l'exercice de ses droits. Bien que l'interprétation de ?Faciliter? Il puisse varier en dépenant des cas, il comprend en tous ils quelque type d'action positive par part des responsables pour faire plus accessibles et simples les voies pour l'exercice de droits.

L'avantage d'une pronta application est qu'il permettra détecter des difficultés, insuffisances ou erreurs dans une étape en que ces mesures ne sont pas obligatoires et, en conséquence, sa correction ou efficacité ne seraient pas soumises à supervision. Cela permettrait corriger des erreurs pour le moment en que le Règlement soit d'application.