El día 25 de mayo de 2018 entrará en vigor el Reglamento General de Protección de Datos (RGPD) de la UE quedando derogada la Directiva 95/46/CE.

España ha de aprobar en breve una nueva Ley que sustituya a la actual Ley Orgánica de Protección de Datos (LOPD) e incorpore las nuevas obligaciones especificadas en el RGPD.

Objetivos del Reglamento Europeo

El RGPD recoge los objetivos de la Directiva anterior y añade, entre otras, las siguientes necesidades:

• unificar los tratamientos de los distintos países europeos y aumentar la seguridad de aquellos datos personales de las personas físicas que circulan entre los países miembros.
• ampliar el control de las personas sobre sus datos personales, añadiendo el derecho al olvido y a la portabilidad a los derechos ya definidos por la LOPD de Acceso, Rectificación, Cancelación y Oposición.

[Por medio del derecho al olvido los interesados podrán solicitar que se supriman sus datos personales en determinadas circunstancias, como que ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se hayan recogido de forma ilícita o cuando hayamos retirado el consentimiento.]

[El derecho a la portabilidad supone que tenemos derecho a solicitar al responsable del tratamiento de nuestros datos que nos los envíe en un formato en el que podemos transmitirlos a otro responsable de tratamiento. Incluso en los casos en los que sea técnicamente posible el responsable deberá transferirlos directamente al nuevo responsable designado por el interesado.]

Algunas Definiciones

• Responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;
• Encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento; Los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas.
• Delegado de Protección de Datos. Cuando el tratamiento afecta a categorías especiales de datos personales, el responsable o el encargado debe nombrar el Delegado de protección de Datos Personales. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho. Sus funciones (ver articulo 39 RGPD): entre otras, informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento, de las obligaciones que les incumben.

Principales Medidas a adoptar por las entidades:

• En aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.Ampliar las medidas de seguridad en relación a los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, incluyendo la seudonimización y el cifrado de datos personales.Reforzar el procedimiento del consentimiento de las personas físicas y detallar las medidas que garanticen que solo se tratan los datos necesarios y que se controlen los periodos de conservación y la accesibilidad a dichos datos.
• Definir las funciones del encargado de tratamiento y su relación con el responsable así como las responsabilidades de ambos.
• Obligar la implantación de un Registro de las actividades de tratamiento por parte del responsable o delegado.
• Ampliar las medidas de seguridad en relación a los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, incluyendo la seudonimización y el cifrado de datos personales.
• Obligar a notificar una violación de la seguridad de los datos personales a la autoridad de control. La notificación a las personas afectadas se tendrán que realizar en algunos casos.
• En aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.
• Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.
• Si necesario, se ha de definir la figura del Delegado de Protección de Datos.

Datos de Riesgos

Lista indicativa de supuestos en que se considera que los tratamientos conllevan un alto riesgo:

• Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar.
• Tratamientos a gran escala de datos sensibles.
• Observación sistemática a gran escala de una zona de acceso público.

Medidas a adoptar para Datos de Riesgos

• utilización de sistemas de cifrado con doble factor de autenticación, a través de herramientas que facilitan el cifrado de portátiles, dispositivos extraíbles, correos electrónicos y archivos de empresas o mediante cualquier mecanismo, como la esteganografía o el espectro ensanchado, que garantice que la información no sea inteligible ni manipulada por terceros.
• creación de la figura del Delegado de Protección de Datos.
• mantener un registro de tratamientos
• antes de realizar un tratamiento, realizar un análisis de impacto para evaluar los riesgos en datos que afectan a las libertades y derechos de las personas físicas (datos sensibles) y una consulta previa a la AEPD.
• establecer limitación en el tratamiento de datos de menores.
• comunicación de fallos de seguridad a la AEPD cuando se produzcan perdida de datos, intentos de intrusión , accesos no autorizados , ..

Sanciones

El nuevo Reglamento General de Protección de Datos, RGPD, prevé mayores infracciones y sanciones.

El responsable o el encargado del tratamiento debe indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción del presente Reglamento.

El responsable o el encargado debe quedar exento de responsabilidad si se demuestra que en modo alguno es responsable de los daños y perjuicios.

El responsable o el encargado debe quedar exento de responsabilidad si se demuestra que en modo alguno es responsable de los daños y perjuicios.

Para las infracciones más graves se sancionarán, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Que pueden hacer las entidades que tratan datos personales de personas físicas:

Las empresas que cumplen la LOPD tienen ya una buena parte de cumplimiento del RGPD

Para conocer el nivel de riesgo de los datos, la Agencia Española de Protección de Datos (AEPD) ha elaborado una serie de herramientas para facilitar la implementación de las medidas a implantar según los tipos de datos, volúmenes y tratamientos: Acceso AEPD

La  AEPD ofrece:

Herramienta Evalua: para autoevaluar el grado de cumplimiento de la Ley Orgánica de Protección de Datos.

Herramienta FacilitaRGPD: para entidades que realizan tratamientos de datos personales que, a priori, implicarían escaso nivel de riesgo para los derechos y libertades de las personas cuyos datos tratan.

Otros materiales ofrecidos por la AEPD:

• Guía del Reglamento General de Protección de Datos para Responsables de tratamiento
• Guía para el cumplimiento del deber de informar
• Guía para la evaluación de impacto en la Protección de Datos Personales
• Directrices para la elaboración de contratos entre Responsables y Encargados de tratamiento
• Orientaciones y garantías en los procedimientos de anonimización de datos personales
• Esquema de certificación (Delegado de Protección de Datos

Aunque no sea obligatorio su obtención, la AEPD ha elaborado un sistema de certificación de Delegados de Protección de Datos (DPD) con el objetivo de ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones, ofreciendo un mecanismo que permite certificar que los DPD reúnen la cualificación profesional y los conocimientos requeridos.

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga a Directiva 95/46/CE (Reglamento general de protección de datos).

ANTEPROYECTO DE LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

PROYECTO DE LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL  (BOE 24 Noviembre 2017)

El proyecto de Ley incluye artículos sobre:

• el desglose de las infracciones que se consideran muy graves, graves y leves.el tratamiento de datos de las personas fallecidas
• los requisitos de transparencia e información al afectado
• el bloqueo de datos (modificados o eliminados)
• la relación de entidades que deben designar un Delegado de Protección de Datos
• el desglose de las infracciones que se consideran muy graves, graves y leves.