NOVEDADES DEL NUEVO REGLAMENTO EUROPEO DE

PROTECCIÓN DE DATOS

2

REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS

El pasado 14 de abril de 2016, el Parlamento Europeo aprobó el nuevo Reglamento General de

Protección de Datos 2016/679, renovando y sustituyendo la anterior Directiva 95/46/CE que

había quedado ya obsoleta teniendo en cuenta el tratamiento de datos efectuado por el

crecimiento de las nuevas tecnologías.

De esta manera, este nuevo texto unifica en toda la Unión Europea la regulación en cuanto a la

protección de los datos personales, avanzando así en la defensa, garantías y libertades de los

datos personales de los ciudadanos europeos, alcanzando una homogeneidad en su

protección, otorgando a los ciudadanos un mayor control sobre sus propios datos y reforzando

la seguridad que conceden tanto empresas como organismos públicos.

Dicho Reglamento entrará en vigor a los 20 días tras su publicación en el Diario Oficial de la

Unión Europea si bien sus disposiciones resultarán de aplicación directa a todos los EE.MM.

pasados dos años desde su publicación, esto es, el próximo 25 de mayo de 2018, y por tanto,

formarán parte de nuestro Ordenamiento sin necesidad de que sea traspuesto por una norma

nacional.

Esto no quiere decir que durante ese periodo de dos años no haya que hacer nada; todo lo

contrario. Ese periodo de adaptación es el que se entiende necesario para completar las

exigencias y compromisos que garantizarán la protección de los datos en las organizaciones

(como prueba del nuevo principio de “responsabilidad o accountability” introducido en el

Reglamento).

ASPECTOS A TENER EN CUENTA

Si bien es cierto que la aprobación del Reglamento incorpora novedades significativas y nuevos

elementos que mejoran la protección y privacidad de los datos, quienes actualmente se

encuentren cumpliendo la normativa vigente en materia de Protección de Datos ya tendrán un

importante camino hecho sobre el que seguir construyendo.

Es esencial que, durante estos dos años, se empiece a planear en las organizaciones de qué

manera se va a enfocar la adaptación y cumplimiento con respecto al Reglamento, puesto que

se introducen nuevos procedimientos a los que habrá que enfrentarse en cuanto a

transparencia o derechos de los interesados. Ello requerirá que las organizaciones revisen

tanto los criterios de gobierno utilizados como el tratamiento de los datos que realizan.

3

Conviene recordar que, no obstante a esta adaptación progresiva, la normativa actualmente

vigente y que por tanto no estamos exentos de cumplir, continúan siendo la Ley Orgánica

15/1999, de 13 de diciembre, de Protección de Datos, y el Real Decreto 1720/2007 por el que

se aprueba su Reglamento de Desarrollo.

¿QUÉ MEDIDAS INCORPORA EL REGLAMENTO?

Conviene destacar las siguientes novedades:

OBTENCIÓN DE

CONSENTIMIENTO

INCORPORACIÓN DE

NUEVOS DERECHOS

REFORZAMIENTO DE

DEBERES

ÁMBITO DE APLICACIÓN

Será necesario un consentimiento inequívoco, libre y

revocable como requisitos sólidos para proceder al

tratamiento de los datos personales de los interesados,

mediante una acción afirmativa clara.

Junto a los Derechos ARCO, se incorporan:

- Derecho de supresión (Derecho al olvido): El

interesado podrá retirar el consentimiento prestado

al responsable, teniendo éste que suprimir los datos

considerados innecesarios para su finalidad, en

buscadores.

- Derecho a la portabilidad de los datos: El interesado

podrá transferir, sin oposición a otro proveedor, los

datos que hubiese facilitado a un responsable.

Se amplían los deberes de transparencia e información que

debe prestarse al titular de los datos en virtud del

tratamiento de sus datos acerca de la finalidad, los

destinatarios o el tiempo que serán conservados.

Junto a su aplicación lógica para tratar datos en actividades

establecidas en la UE, el Reglamento también será aplicable en

aquellos casos en que el tratamiento de datos personales se

realice por parte de un responsable o encargado establecidos

fuera de la UE, y siempre que se refiera a la oferta de bienes y

servicios, o cuando esté relacionado con la observación de su

comportamiento.

4

REGISTRO INTERNO

Se elimina el requisito de la inscripción de ficheros ante la

AEPD (a excepción de compañías con más de 250

empleados); si bien cada organización tendrá que llevar un

registro interno y por escrito del tratamiento de datos que se

realice en las actividades que desempeña.

EVALUACIÓN DE

IMPACTO (PIA)

PRINCIPIO DE

RESPONSABILIDAD

DELEGADO DE

PROTECCIÓN DE DATOS

(DPO)

PRIVACY BY DESIGN /

BY DEFAULT

Las organizaciones como responsables, deberán realizar

evaluaciones de impacto cuando las actividades que vayan a

realizar puedan suponer un riesgo para el tratamiento de

datos.

Dicha evaluación será obligatoria en ciertos casos, como

cuando se traten datos de categoría especial a gran escala. En

caso de que la evaluación concluya un riesgo alto en el

tratamiento, el responsable deberá comunicarlo a la

autoridad de control.

Por tanto, las medidas de seguridad vendrán impuestas por

el tipo de tratamiento que se realice, como del análisis previo

realizado

Aquellos que traten datos personales tendrán que establecer

políticas de protección o controles adecuados e

implementados a cada uno de ellos, demostrando que dichos

procedimientos cumplen con las exigencias que el

Reglamento contempla.

Se designará un Data Protection Officer siempre que:

- El tratamiento lo lleve a cabo una autoridad pública.

- Las actividades realizadas por empresas u otras

entidades que consistan en un tratamiento masivo

de datos personales que requiera una observación

habitual y a gran escala por parte de sus titulares.

- Cuando se efectúen tratamientos sobre categorías de

datos especialmente protegidos.

Las empresas estarán obligadas a tener en consideración la

normativa, con carácter previo al tratamiento de datos

personales, estableciendo un cumplimiento efectivo (privacy

by design), y del mismo modo, tratando exclusivamente los

datos que sean necesarios para los fines específicos (privacy

by default).

5

NOTIFICACIÓN DE

VIOLACIONES DE

SEGURIDAD

El responsable del tratamiento (o el encargado a éste)

notificará a la autoridad de control, a más tardar 72h

después, la violación de seguridad sufrida y que constituya un

riesgo para la protección de los datos personales.

En dicha comunicación deberá describirse, como mínimo y

entre otras, la naturaleza de la violación o las consecuencias

y medidas a adoptar.

Si dicho fallo implicase un alto riesgo para los derechos y

libertades de las personas, deberá ser comunicado al

interesado.

6

OTRAS NOVEDADES

Códigos de Conducta

Datos

Canon

Delegado de Protección

de Datos

Certificaciones

Sanciones

Se promoverá que las organizaciones posean Códigos de

Conducta adaptados a su estructura, contribuyendo en

la correcta aplicación del Reglamento.

Se considerarán datos especialmente protegidos (nivel

alto), los datos genéticos y los biométricos.

El responsable podrá incorporar un canon debido a los

costes administrativos derivados de la respuesta ante el

ejercicio de los derechos ARCO por parte del interesado.

En determinados casos será obligatorio su

nombramiento, como figura independiente para

informar, asesorar, así como supervisar el cumplimiento

del Reglamento dentro de la organización, teniendo que

reportar al superior directo del responsable.

Con la intención de demostrar el cumplimiento de lo

dispuesto en el Reglamento, se crearán mecanismos de

certificación y sellos y marcas en materia de protección

de datos (Sello Europeo).

Aumentan las posibles sanciones, pudiendo llegar hasta

el 4% de la facturación general anual o a los 20M€.

7

FAQ´S

¿Qué consideraciones deben tener en cuenta las empresas con respecto al tratamiento de

datos con la incorporación del Reglamento?

El Reglamento afronta cuestiones tan novedosas como el principio de responsabilidad

proactiva o accountability, la creación de perfiles o la seudonimización de datos, así como la

consideración como datos sensibles de los biométricos y los genéticos.

También incorpora la evaluación de impacto sobre las operaciones de tratamiento, se amplía

el ámbito de aplicación territorial del Reglamento y la privacidad por defecto y por diseño.

¿Qué implica la incorporación del derecho al olvido?

Supone que, al tener los interesados reconocido este derecho, podrán solicitar que se

supriman y dejen de tratar sus datos cuando ya no sean necesarios para los fines para los que

se recabaron.

¿En qué modo se refuerzan los deberes de información y consentimiento por parte del

interesado?

El papel del responsable y encargado del tratamiento es cada vez de mayor peso, y es por ello

que deberá facilitar al interesado información que garantice un tratamiento de datos lícito y

leal. Esta información podrá transmitirse en combinación con unos iconos que ofrezcan, de un

modo fácil y claro, información sobre las condiciones del tratamiento.

¿Es obligatorio designar un Delegado de Protección de Datos (DPO)?

La figura del Data Protection Officer, que introduce el Reglamento con la finalidad de velar por

el cumplimiento legal, si bien es un instrumento voluntario para el responsable y encargado

(salvo excepciones), es una figura necesaria para el control y supervisión en el tratamiento.

Este carácter necesario, si bien no exime a la organización del cumplimiento y responsabilidad

en cuanto al tratamiento de los datos, se ocuparía de las cuestiones sobre la protección de los

datos y la privacidad.

Dejará de ser voluntario en los casos en que cualquier organización procese datos

especialmente protegidos de forma masiva (datos de nivel alto), o necesiten una observación

habitual y sistemática de interesados a gran escala (profiling, investigaciones de mercado); se

cuente con más de 250 trabajadores; o hablemos de instituciones públicas.

La diferencia principal con respecto al antiguo Responsable de Seguridad, es que el DPO será

designado en virtud de sus cualidades y aptitudes profesionales junto con los conocimientos

legales y prácticos en materia de protección de datos, pudiendo ejecutar las obligaciones que

el Reglamento entraña.

8

¿Hay que seguir realizando inscripciones de ficheros ante la Agencia Española de Protección

de Datos?

Sí. Es importante recordar que tanto la Ley Orgánica 15/1999, de 13 de diciembre, de

Protección de Datos de Carácter Personal (LOPD) como el Real Decreto por el que se aprueba

el Reglamento de Desarrollo de la Ley Orgánica 15/1999 (RDLOPD) siguen siendo de aplicación

hasta nueva orden. Por tanto, habrá que esperar a que el legislador o las autoridades de

control se pronuncien y decidan cuáles son los nuevos pasos a seguir.

Por el momento, las obligaciones que recogen ambas normativas no desaparecen, si bien,

durante el plazo de dos años que concede el Reglamento General de Protección de Datos para

que sus disposiciones resulten de aplicación las organizaciones tendrán que adaptarse.

Desaparecerá la obligación de la inscripción de ficheros, ya que se ha optado por que cada

organización lleve a cabo un registro y control interno y por escrito del tratamiento de datos

personales que llevan a cabo, el cual podrá ser dispuesto por parte de la Agencia como

autoridad inspectora.

NUNSYS

Expertos en Consultoría de Tecnologías de la Información

El departamento de Consultoría de Nunsys ha llevado a cabo exitosamente la implantación en

los últimos años de más de 50 empresas en toda España en normativa de Seguridad de la

Información (ENS, ISO 27001, LOPD, PIC, etc.).

De ente ellas, se ha dado apoyo a aquellas que han optado a la certificación externa y con un

porcentaje de un 100% de éxito lo han obtenido (avalado por diversos Organismos de

Certificación). Asimismo Nunsys ha certificados sus procesos Auditoría y Consultoría de

Seguridad de la Información y Gestión de servicios TI, Calidad y Medio Ambiente bajo la norma

ISO 27001, ISO 20000, ISO 9001 e ISO 14001.

El departamento de Consultoría Nunsys está formado por expertos con amplísima experiencia

en el campo de la seguridad de la información. Sus profesionales están acreditados con

certificaciones internacionalmente reconocidas, entre

otras: APEP Certified Privacy, ISO 27001 Lead Auditor,

Certified Information Security Manager (CISM) o

Certified Information Systems Auditor (CISA).

Es por todo ello que desde NUNSYS prestamos

asesoramiento especializado para que, durante el

proceso de adecuación, tanto empresas como

organismos públicos, se adapten a las exigencias y retos

que plantea el Reglamento Europeo de Protección de

Datos y así compartir nuestra experiencia y mejor

práctica en este campo.

Óscar Silla – Consultor área Seguridad y Gobierno TIC

oscar.silla@nunsys.com

Javier Torres – Abogado y Consultor Derecho NN.TT.

javier.torres@nunsys.com