GDPR: LA EVOLUCIÓN DE los derechos de los usuarios sobre sus datos.

De la LOPD a GDPR: el gran salto.

La inminente aplicación del GDPR (Reglamento General de Protección de Datos), el 25 de mayo de 2018,  tiene como objetivo que todos los ciudadanos de la UE recuperen el control de sus datos personales y una mayor protección de los mismos, independientemente de la ubicación de la entidad que los posea. Con esta regulación se busca armonizar la protección de datos en todo el espacio de la Unión Europea y adaptar estas normas a la rápida evolución tecnológica en nuestra sociedad de la información.

El derecho a la protección de datos es un derecho de todas las personas que se traduce en la potestad de control de sus datos personales y que permite decidir qué datos proporcionar a un tercero y para qué usos. Esto incluye la facultad de las personas para saber quién posee sus datos personales y con qué objeto, así como la capacidad para oponerse a esa posesión o uso de los datos, a que los utilicen con fines diferentes para los que fueron concedidos y a la rectificación de los mismos.

 

Del consentimiento tácito al consentimiento informado

A los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) recogidos en la Ley Orgánica de Protección de Datos (LOPD), todavía vigente hasta el 25 de mayo, el GDPR añade nuevos elementos para mejorar el control de sus datos por parte de los ciudadanos. El Reglamento le dedica a esta materia todo el capítulo III denominado “Derechos del interesado”. Uno de los principales cambios con respecto a la LOPD proviene a la hora de recopilar los datos de los usuarios por parte de las empresas, en el que el consentimiento para la recopilación y tratamiento de datos era implícito, una vez que éstos eran facilitados; el reglamento europeo recoge el “consentimiento informado”. Esto supone la eliminación del consentimiento tácito que permitía la norma anterior, ahora debe manifestarse mediante una declaración positiva (por ejemplo, no se podría usar una casilla ya marcada en un formulario digital).

Si antes se aunaban “manual de uso” y “consentimiento” al tratamiento de datos en un mismo epígrafe, ahora se deben diferenciar claramente. El lenguaje debe ser fácil de entender y en cualquier caso, si un usuario pide que se eliminen sus datos, la empresa deberá cumplir este requisito en el plazo de un mes. Los formularios deben incluir todos los campos necesarios para que el usuario pueda indicar qué tratamiento de datos consiente. Por ejemplo, si consiente el tratamiento de sus datos para actividades de marketing de una empresa, para actividades de perfiles, para actividades de marketing de terceras empresas, etc. Hay que pedir consentimiento específico para cada uno de estos campos y ofrecer una información clara  sobre la base jurídica del tratamiento de sus datos, los plazos de conservación de los mismos y su posible transferencia a otros países no pertenecientes a la UE.

 

 

“El derecho al olvido obliga a borrar los datos personales cuando la información es obsoleta”

Uno de los derechos que tienen todos los usuarios consiste en la cancelación de sus datos. La obligatoriedad de una empresa a borrar los datos del usuario es flagrante si se recopilaron datos de manera fraudulenta o si esa persona era menor de edad cuando se obtuvieron esos datos. De la misma manera que se deberán borrar por el denominado “derecho al olvido”: cuando la información es obsoleta (ya no son necesarios en relación con los fines para los que fueron recogidos) o esos datos ya no tienen relevancia ni interés público, aunque la publicación sea legítima. También deben ser suprimidos si el interesado se opone al tratamiento, aunque hayan sido aceptados anteriormente.

El derecho al olvido siempre será sometido al balance de ponderación cuando entra en conflicto con otros derechos como el derecho a recibir información, como por ejemplo, borrar datos sobre la imputación en el pasado por algún delito, conflicto aún mayor cuando se trata de una persona pública. Una empresa tampoco está obligada a borrar los datos personales de una persona si existe otra obligación legal que implique conservar dichos datos, por motivos de interés público como la salud pública.

Además, con la nueva normativa, el usuario puede pedir que trasladen sus datos cuando se cambia de empresa con el derecho de portabilidad. Los datos de los usuarios pueden ser transferidos de un proveedor a otro, previa solicitud del usuario, lo que facilita la libre competencia.

 

“Cuando una empresa sufre un ataque en el que se han visto comprometidos los datos, debe ponerse en contacto con las autoridades en un plazo de 72 horas”

Otra de las novedades más importantes que introduce esta regulación es la obligatoriedad de notificar las violaciones de seguridad cuando son relativas a la privacidad de datos. Cuando una empresa sufre un ataque en el que se han visto comprometidos datos personales, la organización debe ponerse en contacto con las autoridades competentes (AEPD en España) en un plazo de 72 horas. Aunque  los datos estuviesen cifrados, también habría que notificarlo en el mismo plazo a aquellos usuarios cuya información se haya visto comprometida. Por este motivo, es aconsejable que las empresas tengan todos los datos cifrados.

Incidentes como la pérdida de un ordenador portátil sin notificar, el acceso no autorizado a las bases de datos de una organización, incluso por su propio personal, o el borrado accidental de algunos registros constituyen violaciones de seguridad para el GDPR. La falta de notificación de estas brechas o violaciones de seguridad serían tipificadas como infracciones y su naturaleza será estimada por la autoridad competente (AEPD).

 

“La sensibilidad de los datos será determinante a la hora de estimar las infracciones”

Es cierto que la sensibilidad de estos datos modifica la sanción, igual que la no sensibilidad de los datos, exime a la empresa de su notificación. Si los datos comprometidos no afectan a datos bancarios, contraseñas o a datos sensibles como los relativos a salud, raza, religión, datos biométricos o sobre la orientación sexual de una persona no sería necesaria la notificación de la fuga de datos; sólo se requiere notificación si los datos pudieran causar un daño en los derechos o libertades de los interesados.

Aunque es aconsejable, por la propia seguridad de una empresa, realizar una evaluación de fallos para evitar futuros desajustes en la protección de la propia compañía. Por ejemplo un propietario de una tienda que maneja datos sobre domicilio de clientes e información de facturación (sin datos sobre cuentas bancarias) no tendría la obligación de notificar la brecha a la autoridad competente.

 

 

La limitación del tratamiento en el GDPR

Otra de las modificaciones importantes es la limitación del tratamiento. Con este derecho se puede solicitar a los responsables que suspendan el tratamiento de los datos cuando el usuario ha ejercido los derechos de rectificación u oposición y  se verifica si los motivos del responsable prevalecen sobre los del interesado. Esta limitación del tratamiento también puede conllevar a que se solicite al responsable que conserve los datos del usuario cuando el tratamiento de datos sea ilícito, de esta manera el interesado puede oponerse a la supresión de sus datos. Por último, cuando los datos ya no sean necesarios para el tratamiento, caso en el que se borrarían,  pero el usuario interesado solicita la limitación al necesitarlos para la formulación, el ejercicio o la defensa de reclamaciones.

Además, los usuarios tienen derecho a no ser objeto de decisiones individualizadas basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o pueda afectar al interesado. Se hace especial referencia al tratamiento automatizado de datos destinados a evaluar, analizar o predecir los siguientes aspectos personales: rendimiento profesional, situación económica, salud, preferencias o intereses personales, fiabilidad, comportamiento, ubicación o movimientos de la persona. Hay excepciones si por ejemplo es necesario para la celebración o ejecución de un contrato, está permitido por el derecho de la UE o de los Estados Miembros, con medidas adecuadas para salvaguardar los derechos y libertades del titular de los datos, o si existe un consentimiento explícito del interesado.

 

Reclamaciones y sanciones

Por supuesto, en GDPR al igual que en la LOPD,  los interesados pueden presentar reclamaciones tanto ante la autoridad de control competente (AEPD), como ante los tribunales, en este caso pueden ir dirigidos contra la autoridad de control o contra el encargado del tratamiento, así como el derecho a percibir una indemnización del responsable si ha sufrido algún perjuicio material o inmaterial como consecuencia de una vulneración de la normativa.

En el GDPR las sanciones se dividen en infracciones leves y graves. Si con la LOPD, la multa más liviana iba desde los 900 euros hasta los 600.000 euros la más grave; con el GDPR, el castigo puede llegar hasta los 20 millones de euros, o un 4% del negocio anual global del ejercicio financiero anterior.

 

A la espera de la aprobación de la nueva Ley Orgánica de Protección de Datos

A la espera del inicio de la aplicación desde la normativa (en realidad entró en vigor en 2016 y su aplicación está en suspenso hasta el 25 de mayo de 2018), habrá que observar su verdadera aplicación, que diferirá en algunos aspectos en cada país de la UE. Cada Estado puede crear una regulación para facilitar la aplicación del GDPR, puesto aunque la norma es de aplicación directa en toda la UE, en la misma se hacen múltiples referencias a ciertos aspectos que debe definir cada Estado Miembro, por ejemplo la edad mínima para otorgar el consentimiento, los poderes de la autoridad nacional de control, el tratamiento de datos en el ámbito laboral, la prestación de servicios médicos o las sanciones a determinadas conductas. Por eso, varios países de la UE han desarrollado o están en vías de aprobar una regulación específica que ayude a definir algunos aspectos del Reglamento. En España se está debatiendo también una Ley Orgánica cuyo proyecto se puede consultar aquí y que ayudará a precisar la aplicación del GDPR en nuestro país.

Comments are closed.