Agencia española de protección de datos

O Regulamento de protección de datos en 12 preguntas

O Regulamento Xeral de Protección de Datos entrou en vigor o 25 de maio de 2016. A AEPD elaborou este documento simplificado, que segue o formato pregunta-resposta, para facilitar a comprensión do novo marco normativo aos cidadáns e axudar ás organizacións a adaptarse aos cambios que incorpora e cumprir así coas súas obrigacións.

1. A entrada en vigor do Regulamento, supón que xa non se aplica a Lei Orgánica de Protección de Datos española?

Non. O Regulamento entrou en vigor o 25 de maio de 2016 pero non comezará a aplicarse ata dous anos despois, o 25 de maio de 2018. Ata entón, tanto a Directiva 95/46 como as normas nacionais que a traspoñen, entre elas a española, seguen sendo plenamente válidas e aplicables.

2. Cal é, entón, o significado de que o Regulamento entrase en vigor?

O período de dous anos ata a aplicación do Regulamento ten como obxectivo permitir que os Estados da Unión Europea, as Institucións Europeas e tamén as organizacións que tratan datos vaian preparándose e adaptándose para o momento en que o Regulamento sexa aplicable.

Neses dous anos, por exemplo, os Estados membros poden adoptar ou iniciar a elaboración de determinadas normas que sexan necesarias para permitir ou facilitar a aplicación do Regulamento. Esas normas non poden ser contrarias ás disposicións da vixente Directiva nin tampouco ir máis aló dos poderes de actuación normativa que o propio Regulamento prevé de forma explícita ou implícita.

3. A que empresas ou organizacións aplícase?

O Regulamento aplicarase como ata agora a responsables ou encargados de tratamento de datos establecidos na Unión Europea, e amplíase a responsables e encargados non establecidos na UE sempre que realicen tratamentos derivados dunha oferta de bens ou servizos destinados a cidadáns da Unión ou como consecuencia dunha monitorización e seguimento do seu comportamento.

Para que esta ampliación do ámbito de aplicación poida facerse efectiva, esas organizacións deberán nomear un representante na Unión Europea, que actuará como punto de contacto das Autoridades de supervisión e dos cidadáns e que, en caso necesario, poderá ser destinatario das accións de supervisión que desenvolvan esas autoridades. Os datos de contacto dese representante na Unión deberán proporcionarse aos interesados entre a información relativa aos tratamentos dos seus datos persoais.

4. Que implica para os cidadáns que o Regulamento amplíe o ámbito de aplicación territorial?

Esta novidade supón unha garantía adicional aos cidadáns europeos. Na actualidade, para tratar datos non é necesario manter unha presenza física sobre un territorio, polo que o Regulamento pretende adaptar os criterios que determinan que empresas deben cumprilo á realidade do mundo de internet.

Iso permite que o Regulamento sexa aplicable a empresas que, ata agora, podían estar a tratar datos de persoas na Unión e, con todo, rexíanse por normativas doutras rexións ou países que non sempre ofrecen o mesmo nivel de protección que a normativa europea.

5. Que novas ferramentas de control dos seus datos posúen os cidadáns?

O Regulamento introduce novos elementos, como o dereito ao esquecemento e o dereito á portabilidade, que melloran a capacidade de decisión e control dos cidadáns sobre os datos persoais que confían a terceiros.

O dereito ao esquecemento preséntase como a consecuencia do dereito que teñen os cidadáns a solicitar, e obter dos responsables, que os datos persoais sexan suprimidos cando, entre outros casos, estes xa non sexan necesarios para a finalidade coa que foron recolleitos, cando se retirou o consentimento ou cando estes se recolleron de forma ilícita. Así mesmo, segundo a sentenza do Tribunal de Xustiza da Unión Europea de 13 de maio de 2014, que recoñeceu por primeira vez o dereito ao esquecemento recolleito agora no Regulamento europeo, supón que o interesado pode solicitar que se bloqueen nas listas de resultados dos buscadores os vínculos que conduzan a informacións que lle afecten que resulten obsoletas, incompletas, falsas ou irrelevantes e non sexan de interese público, entre outros motivos.

Pola súa banda, o dereito á portabilidade implica que o interesado que proporcionase os seus datos a un responsable que os estea tratando de modo automatizado poderá solicitar recuperar eses datos nun formato que lle permita o seu traslado a outro responsable. Cando iso sexa tecnicamente posible, o responsable deberá transferir os datos directamente ao novo responsable designado polo interesado.

6. A que idade poden os menores prestar o seu consentimento para o tratamento dos seus datos persoais?

O Regulamento establece que a idade na que os menores poden prestar por si mesmos o seu consentimento para o tratamento dos seus datos persoais no ámbito dos servizos da sociedade da información (por exemplo, redes sociais) é de 16 anos. Con todo, permite rebaixar esa idade e que cada Estado membro estableza a súa propia, establecendo un límite inferior de 13 anos. No caso de España, ese límite continúa en 14 anos. Por baixo desa idade, é necesario o consentimento de pais ou titores.

No caso das empresas que recompilen datos persoais, é importante lembrar que o consentimento ten que ser verificable e que o aviso de privacidade debe estar escrito nunha linguaxe que os nenos poidan entender.

7. Que implica a responsabilidade activa recollida no Regulamento?

Un dos aspectos esenciais do Regulamento é que se basea na prevención por parte das organizacións que tratan datos. É o que se coñece como responsabilidade activa. As empresas deben adoptar medidas que aseguren razoablemente que están en condicións de cumprir cos principios, dereitos e garantías que o Regulamento establece. O Regulamento entende que actuar só cando xa se produciu unha infracción é insuficiente como estratexia, dado que esa infracción pode causar danos aos interesados que poden ser moi difíciles de compensar ou reparar. Para iso, o Regulamento prevé unha batería completa de medidas:

- Protección de datos desde o deseño

- Protección de datos por defecto

- Medidas de seguridade

- Mantemento dun rexistro de tratamentos

- Realización de avaliacións de impacto sobre a protección de datos

- Nomeamento dun delegado de protección de datos

- Notificación de violacións da seguridade dos datos

- Promoción de códigos de conduta e esquemas de certificación.

8. Entón, supón unha maior carga de obrigacións para as empresas?

O Regulamento supón un maior compromiso das organizacións, públicas ou privadas, coa protección de datos. Pero iso non implica necesariamente nin en todos os casos unha maior carga. En moitos casos será só unha forma de xestionar a protección de datos distinta da que vén empregando agora.

En primeiro lugar, algunhas das medidas que introduce o Regulamento son unha continuación ou substitúen a outras xa existentes, como é o caso das medidas de seguridade ou da obrigación de documentación e, ata certo punto, a avaliación de impacto e a consulta a Autoridades de supervisión.

Outras constitúen a formalización nunha norma legal de prácticas xa moi estendidas nas empresas ou que, en todo caso, formarían parte dunha correcta posta en marcha dun tratamento de datos, como poden ser a privacidade desde o deseño e por defecto, a avaliación de impacto sobre protección de datos en certos casos ou a existencia dun delegado de protección de datos.

En todos os casos, o Regulamento prevé que a obrigación destas medidas, ou o modo en que se apliquen, dependerá de factores tales como o tipo de tratamento, os custos de implantación das medidas ou o risco que o tratamento presenta para os dereitos e liberdades dos titulares dos datos.

Por iso, é necesario que todas as organizacións que tratan datos realicen unha análise de risco dos seus tratamentos para poder determinar que medidas han de aplicar e como facelo. Estas análises poden ser operacións moi simples en entidades que non levan a cabo máis que uns poucos tratamentos sinxelos que non impliquen, por exemplo, datos sensibles, ou operacións máis complexas en entidades que desenvolvan moitos tratamentos, que afecten a gran cantidade de interesados ou que polas súas características requiren dunha valoración coidadosa dos seus riscos.

As Autoridades de protección de datos europeas de forma colectiva, e a Axencia Española individualmente, estamos xa traballando no desenvolvemento de ferramentas que faciliten a identificación e valoración de riscos e en recomendacións sobre a aplicación de medidas, especialmente en relación con pemes que realizan os tratamentos de datos máis habituais na xestión empresarial.

9. Cambia a forma na que hai que obter o consentimento?

Unha das bases fundamentais para tratar datos persoais é o consentimento. O Regulamento pide que o consentimento, con carácter xeral, sexa libre, informado, específico e inequívoco. Para poder considerar que o consentimento é ?inequívoco?, o Regulamento require que haxa unha declaración dos interesados ou unha acción positiva que indique o acordo do interesado. O consentimento non pode deducirse do silencio ou da inacción dos cidadáns. 

As empresas deberían revisar a forma na que obteñen e rexistran o consentimento. Prácticas que se encadran no chamado consentimento tácito e que son aceptadas baixo a actual normativa deixarán de selo cando o Regulamento sexa de aplicación.

Ademais, o Regulamento prevé que o consentimento haxa de ser ?explícito? nalgúns casos, como pode ser para autorizar o tratamento de datos sensibles. Trátase dun requisito máis estrito, xa que o consentimento non poderá entenderse como concedido implicitamente mediante algún tipo de acción positiva. Así, será preciso que a declaración ou acción refíranse explicitamente ao consentimento e ao tratamento en cuestión.

Hai que ter en conta que o consentimento ten que ser verificable e que quen recompilen datos persoais deben ser capaces de demostrar que o afectado outorgoulles o seu consentimento. Por iso, é importante revisar os sistemas de rexistro do consentimento para que sexa posible verificalo ante unha auditoría.

10. Deben as empresas revisar os seus avisos de privacidade?

Con carácter xeral, si. O Regulamento prevé que se inclúan na información que se proporciona aos interesados unha serie de cuestións que coa Directiva e moitas leis nacionais de trasposición non eran necesariamente obrigatorias. Por exemplo, haberá que explicar a base legal para o tratamento dos datos, os períodos de retención dos mesmos e que os interesados pode dirixir as súas reclamacións ás Autoridades de protección de datos. Se cren que hai un problema coa forma en que están a manexar os seus datos. É importante lembrar que o Regulamento esixe de forma expresa que a información que se proporcione sexa fácil de entender e presentarse nunha linguaxe clara e conciso.

11. En que consiste o sistema de 'portelo único'?

Este sistema está pensado para que os responsables establecidos en varios Estados membros ou que, estando nun só Estado membro, fagan tratamentos que afecten significativamente a cidadáns en varios Estados da UE teñan unha única Autoridade de protección de datos como interlocutora. Tamén implica que cada Autoridade de protección de datos europea, en  lugar de analizar unha denuncia ou autorizar un tratamento a nivel estritamente nacional, a partir da aplicación do Regulamento valorará se o suposto ten carácter transfronteirizo, nese caso haberá que abrir un procedemento de cooperación entre todas as Autoridades afectadas buscando unha solución aceptable para todas elas. Se hai discrepancias insalvables, o caso pode elevarse ao Comité Europeo de Protección de Datos, un organismo da Unión integrado polos directores de todas as Autoridades de protección de datos da Unión. Ese Comité resolverá a controversia mediante decisións vinculantes para as Autoridades implicadas.

Este novo sistema non supón que os cidadáns teñan que relacionarse con varias Autoridades ou con Autoridades distintas da do Estado onde residan. Sempre poden expor as súas reclamacións ou denuncias ante a súa propia Autoridade nacional (no caso español, a Axencia Española de Protección de Datos). A xestión será realizada por esa Autoridade, que será tamén responsable de informar ao interesado do resultado final da súa reclamación ou denuncia.

O portelo único, en todo caso, non afectará a empresas que só estean nun Estado membro e que realicen tratamentos que afecten só a interesados nese Estado.

12. Teñen as empresas que empezar a aplicar xa as medidas contempladas no Regulamento?

Non. O Regulamento está en vigor, pero non será aplicable ata 2018.

Con todo, pode ser útil para as organizacións que tratan datos empezar xa a valorar a implantación dalgunhas das medidas previstas, sempre que esas medidas non sexan contraditorias coas disposicións do LOPD, que segue sendo a norma pola que han de rexerse os tratamentos de datos en España.

Por exemplo, as organizacións deben ter en conta que a partir de maio de 2018 deberán realizar análise de risco dos seus tratamentos e que pode ser útil para elas empezar desde agora a identificar o tipo de tratamentos que realizan, o grao de complexidade da análise que deberán levar a cabo, etc. Nesta tarefa poderían utilizar as ferramentas e recursos que paulatinamente vaian desenvolvendo as Autoridades de protección de datos.

Igualmente, nada impide que as organizacións comecen a planificar ou a establecer o rexistro de tratamentos de datos ou a implantar as avaliacións de impacto ou calquera outra das medidas previstas.

Do mesmo xeito, as organizacións poderían comezar a deseñar e implantar os procedementos para notificar adecuadamente ás Autoridades de protección de datos ou aos interesados as quebras de seguridade que puidesen producirse.

En xeral, as organizacións que tratan datos persoais deberían comezar a preparar a aplicación destas medidas, así como doutras modificacións prácticas derivadas do Regulamento. Por exemplo, o Regulamento esixe que os responsables de tratamento faciliten aos interesados o exercicio dos seus dereitos. Aínda que a interpretación de ?facilitar? poida variar dependendo dos casos, inclúe en todos eles algún tipo de actuación positiva por parte dos responsables para facer máis accesibles e sinxelas as vías para o exercicio de dereitos.

A vantaxe dunha pronta aplicación é que permitirá detectar dificultades, insuficiencias ou erros nunha etapa en que estas medidas non son obrigatorias e, en consecuencia, a súa corrección ou eficacia non estarían sometidas a supervisión. Iso permitiría corrixir erros para o momento en que o Regulamento sexa de aplicación.