Seleccionar página

Ya tenemos nueva normativa en protección de datos personales

Ya tenemos nueva normativa en protección de datos personales

La protección de los datos personales se ha convertido en un derecho ineludible para nosotros los abogados, ya que para proteger correctamente a nuestros clientes debemos aplicar todas las exigencias legales establecidas para el tratamiento de sus datos personales. Además, hemos de aplicar estas mismas exigencias en el tratamiento de los datos personales de sus contrarios, así como de cualquier otro tercero implicado en los asuntos legales que nos encomiendan.

En muchos casos la aplicación de estas exigencias no es tarea fácil, principalmente por dos motivos. El primero de ellos es que la norma que regula esta materia, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), es de una técnica legal algo deficiente, hecho reconocido por los propios padres de esta normativa, que dicho sea en su defensa, les costó bastante sacar adelante esta ley para trasponer la Directiva 95/46/CE, tanto que no quisieron entretenerse más en acordar una exposición de motivos para esta ley orgánica. El segundo motivo es el avance tecnológico y la globalización que se ha producido, desde el nacimiento de esta ley hasta nuestros días, en los sistemas de tratamiento de la información, lo que lleva a que algunas de sus disposiciones son difícilmente aplicables en nuestro sistema de trabajo actual, donde los datos en la nube, Internet, y las aplicaciones móviles están al orden del día.

Pero nuestra relación con el derecho fundamental a la protección de datos no acaba aquí, ya que cada vez son más los clientes que nos requieren que le asesoremos en asuntos que tienen que ver con la privacidad.

Por todo ello, es de suma importancia que los letrados estemos al día en esta materia, ya que además de tener que aplicar sus disposiciones en el tratamiento de los datos personales que realizamos en nuestros despachos, debemos advertir correctamente a nuestros clientes en los tratamientos de datos personales que realizan.

Recientemente se ha producido una importante novedad en relación con la normativa de protección de datos, el pasado 24 de mayo de 2016 entro en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Lo primero que debemos saber respecto a este Reglamento es que a pesar de haber entrado ya en vigor, éste prevé una vacatio legis de dos años para que podamos ir adaptándonos a sus nuevas exigencias sin prisas, pero sin pausa, ya que el 25 de mayo de 2018 será plenamente aplicable, y desde ese día quedará derogada la Directiva 95/46/CE, que en nuestro país quedó traspuesta a través de la LOPD.

Esto no significa que la LOPD quedará automáticamente derogada ese 25 de mayo, sino que desde ese día no serán aplicables sus preceptos que sean contrarios a lo establecido por el Reglamento general de protección de datos, que, como reglamento europeo, será de aplicación directa en todos los países de la Unión Europea. Sin embargo, será una magnífica oportunidad para derogar la LOPD, y promulgar una nueva ley orgánica que, siguiendo lo establecido por este nuevo Reglamento, haga comprensible y aplicable las exigencias que el derecho fundamental a la protección de datos requiere.

Destacaremos a continuación las principales novedades de este Reglamento, comenzando por el ámbito de aplicación del mismo. El ámbito de aplicación material continúa prácticamente igual, aunque su definición ha mejorado bastante respecto a la dada por la LOPD, el tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero que esté estructurados con arreglo a criterios específicos. Sin embargo, el ámbito territorial de aplicación de esta norma ha sido modificado, extendiéndose su aplicación al tratamiento de datos personales de interesados que residan en la Unión Europea por parte de un responsable o encargado no establecido en Europa, cuando las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a dichos interesados, independientemente de si a estos se les requiere su pago, o el control de su comportamiento, en la medida en que este tendrá lugar en la Unión Europea. Así, con el nuevo Reglamento podrá aplicarse la normativa de protección de datos a aquellas empresas que desde fuera del territorio de la Unión Europea ofrezcan sus productos o servicios a los ciudadanos europeos, exigiéndoles además que designen a un representante en Europa.

La novedad más importante para los abogados es la creación de la figura del delegado de protección de datos, que deberá ser una persona con conocimientos especializados en Derecho y en la práctica en materia de protección de datos, y que tendrán que existir obligatoriamente en muchas de las empresas y administraciones públicas, de ahí la importancia de que los abogados estemos preparados para cubrir estos puestos, bien como empleados del responsable o encargado del tratamiento, o bien como profesionales independientes que les presten este servicio. El Reglamento establece como funciones mínimas del delegado de protección de datos, informar y asesorar al responsable o al encargado del tratamiento y a sus empleados; supervisar el cumplimiento de lo dispuesto en la normativa y en las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes; ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación; así como cooperar y ser punto de contacto con la autoridad de control correspondiente.

Una de las obligaciones que desaparece en el Reglamento es la de notificar e inscribir los ficheros que contienen datos personales en un registro creado al efecto, actualmente el Registro General de Protección de Datos.

Por contra, se establecen nuevas obligaciones para los responsables de tratamientos de datos personales, a los que se les requiere una participación más activa en el cumplimiento de la normativa de protección de datos. Así, se establece la denominada responsabilidad proactiva del responsable del tratamiento, quien no sólo tendrá que cumplir con los principios relativos a los tratamientos que establece el Reglamento, sino que además tendrá que ser capaz de demostrar su cumplimiento.

También deberán adoptar políticas internas y aplicar medidas que cumplan los principios de protección de datos desde el diseño y por defecto, es decir, que a la hora de diseñar la prestación de un servicio deberán asegurarse previamente que éste cumple las obligaciones en materia de protección de datos. En el mismo sentido, según las circunstancias, los responsables deberán realizar, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.

Igualmente deberán documentar y notificar cualquier violación de la seguridad que le ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos a la autoridad de control, algo que será más práctico y efectivo que notificar la simple existencia de un fichero.

Por último, respecto a estas nuevas obligaciones, los responsables del tratamiento deberán llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, lo que permitirá evaluar el efectivo cumplimiento de la normativa.

Respecto al deber de información a los interesados, se amplía el contenido que habrá que facilitarles, ya que deberá añadir los datos de contacto del delegado de protección de datos; la base jurídica del tratamiento o los intereses legítimos del responsable o de un tercero que correspondan; el plazo durante el cual se conservarán los datos personales o los criterios utilizados para determinarlo; y la existencia del derecho a la limitación de su tratamiento, a la portabilidad de los datos, a retirar el consentimiento en cualquier momento, y a presentar una reclamación ante una autoridad de control. Así, será imprescindible que llegado el 25 de mayo de 2018, o antes si así lo estima conveniente el responsable del tratamiento, se modifiquen todas las cláusulas que se utilizan al solicitar datos personales, algo que permitirá comprobar quienes se han adaptado correctamente a la nueva normativa de protección de datos.

En cuanto al tratamiento de datos especialmente protegidos, llamados en el Reglamento categorías especiales de datos personales, es de destacar, por los problemas que muchas veces nos acarrea a los abogados el uso de dicha información, que no operará la prohibición de su tratamiento cuando éstos se refieran a datos personales que el interesado haya hecho manifiestamente públicos; cuando el tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones; o cuando sea necesario por razones de un interés público esencial.

Por último, respecto a las posibles infracciones relativas al cumplimiento de la normativa de protección de datos y sus sanciones, se establece la posibilidad de que las autoridades de control, sin sancionar ni apercibir, simplemente adviertan cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en la normativa de protección de datos, lo que sin duda servirá de ayuda al cumplimiento de esta normativa evitando que se materialicen infracciones y sus sanciones correspondientes. En cuanto a las sanciones, el Reglamento estipula que los distintos Estados deberán establecer las normas en materia de sanciones aplicables a las infracciones de lo estipulado en el mismo, no obstante, cuando el ordenamiento jurídico de un Estado miembro no establezca multas administrativas podrán aplicarse las establecidas por el propio Reglamento, que prevé multas administrativas de hasta 20.000.000 euros.

En definitiva, esta nueva normativa traerá nuevas obligaciones y derechos en materia de protección de datos cuyo cumplimiento será más fácilmente comprobable por las autoridades de control, lo que unido a la cuantía de sus sanciones convierte este momento en el perfecto para adaptarnos a las exigencias de la normativa de protección de datos, algo que repercutirá en la calidad de los servicios que prestamos a nuestros clientes. Además, nuestros conocimientos especializados en Derecho y en la práctica en materia de protección de datos nos permitirán convertirnos, mejor que nadie, en esos delegados de protección de datos que muchas empresas y administraciones públicas necesitarán.

Colaborar en LTD

Colaborar en LTD

Si quieres escribir un artículo en nuestra revista, envíanos un mail y si es de interés para el colectivo, lo publicaremos.

Suscríbete a nuestro
Newsletter

Recibe el mejor resumen de contenidos.
Artículos, información legal, actualidad, formación y mucho más.
Compromiso de contenidos de primer nivel.

El Ilustre Colegio de Abogados de Sevilla tratará los dato que nos facilite con el fin de enviarme información exclusiva relacionada de La Toga Digital. Tiene derecho a acceder a sus datos, rectificarlos y suprimirlos, así como a otros derechos. Más información en nuestra política de privacidad