Novedades en materia de Protección de Datos

El pasado mes de noviembre se aprobó por el Consejo de Ministros el Proyecto de Ley Orgánica de Protección de Datos, que tiene por objeto adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos.

La normativa introduce novedades y mejoras incorporando medidas de responsabilidad mas activa para cumplir con los principios de protección de datos y, sobre todo, poder demostrarlo. Se basa en un sistema de prevención. Es lo que se conoce como responsabilidad activa y el Reglamento ha previsto una batería completa de medida como: La Protección de datos desde el diseño,  La Protección de Datos por defecto, Las Medidas de Seguridad, El Mantenimiento de un Registro de Tratamientos, La Realización de Evaluaciones de Impacto sobre la protección de datos, Nombramiento de un Delegado de Protección de Datos, La Notificación de Violaciones de la Seguridad de los Datos, Promoción de códigos de conducta y esquemas de certificación.

Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos y determinar qué medidas han de aplicarse y cómo hacerlo. Estos análisis pueden ser operaciones muy simples cuando no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo, datos sensibles u operaciones más complejas, cuando desarrollen muchos tratamientos que afecten a gran cantidad de interesados o que por sus características requieren de una valoración cuidadosa de sus riesgos.

El Reglamento también introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros. El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar y obtener de los responsables que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.

Prevé además nuevas exigencias para la validez del consentimiento obteniendo “una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta” y exigiendo que el responsable sea capaz de demostrar que efectivamente se ha prestado consentimiento.

Así mismo, las empresas también deberán revisar sus avisos de privacidad y su base legal para cerciorarse de que proporcionan toda la información al interesado. Información que debe ser fácil de entender, clara y concisa. Y si el tratamiento de datos afectasen a ciudadanos en varios Estados de la UE, el reglamento establece una única Autoridad de protección de datos, el nuevo sistema de “ventanilla única”.

En definitiva, las empresas deberán a partir de 2018 gestionar la protección de datos de forma distinta de la que se venía haciendo, con un análisis de riesgo de sus tratamientos, identificar el tipo de tratamientos que realizan, el grado de complejidad del análisis que deberán llevar a cabo, etc.

Para mayor información contacta con nosotros.