Últimas modificaciones del Reglamento Europeo de Protección de Datos.

Miniatura noticia

Se ha filtrado un documento con lo que sería el texto negociado y propuesto entre la Comisión y el Consejo del Reglamento Europeo de Protección de Datos (ver al respecto en el post anterior titulado “La Unión Europea rechaza la figura del Data Protection Officer -Delegado de Protección de Datos“-).

Se han introducido numerosos cambios en relación, no sólo con la Propuesta inicial de Reglamento, sino también en relación con las modificaciones sugeridas por el Parlamento Europeo.

Estos algunos de los cambios introducidos:

Ámbito de aplicación

Se acepta el matiz, “independientemente de si se requiera el pago” introducido el Parlamento Europeo sobre aplicar el Reglamento cuando se ofrezcan bienes y servicios a los europeos.

Sobre aplicar el Reglamento cuando se monitorice el comportamiento de los usuarios, siempre que esta actividad tenga lugar en la Unión Europea.

Definiciones

Se introduce la restricción al tratamiento, que supone adoptar medidas en el almacenamiento de datos para restringir su tratamiento en el futuro.

Pseudoanonimización: tratamiento de datos personales que no permite identificar a una persona sin otra información adicional que, a su vez, se encuentra separada, existiendo medidas técnicas que no permitan la identificación.

Cesionarios: las autoridades públicas que reciban datos personales en el ejercicio de sus funciones, no tendrán tal consideración.

Se elimina el concepto de menor de todo aquel que tenga menos de 18 años.

Se introducen las definiciones de servicio de la sociedad de la información y organización internacional.

Principios sobre el tratamiento de datos personales.

Aparece el interés público en una doble vertiente:

  • El tratamiento de los datos personales para fines históricos, estadísticos, científicos y de interés público no se considerará incompatible con la finalidad que motivó la recogida de datos personales.
  • Por los mismos motivos que los descritos anteriormente, incluyendo obviamente, el interés público, se podrán guardar los datos personales más tiempo que el estrictamente necesario.

Licitud para el tratamiento de datos

Se introduce que será licito el tratamiento de los datos personales cuando el afectado ha dado su consentimiento “sin ambigüedades”.

Es decir, de aprobarse el Reglamento con esta inclusión, ya tenemos debate para saber qué es un “consentimiento sin ambigüedades”.

*No obstante lo anterior, me apunta @PaulaOrtiz_ por twitter que la Directiva 95/46 también recoge dicho término pero que ha sido traducido por “inequívoco” que conocemos actualmente.

Por otra parte, se desarrolla la posibilidad de tratamiento posterior para una finalidad diferente a la que motivó la recogida, de forma que para este tratamiento posterior se tendrán en cuenta, entre otros, el tipo de datos personales, la finalidad que motivó su recogida, y la relación entre la finalidad originaria del tratamiento de datos y las posteriores.

Consentimiento

El responsable debe demostrar que el afectado ha dado su consentimiento “sin ambigüedades” para el tratamiento de los datos.

*Ver nota anterior sobre “sin ambigüedades” e “inequívoco”.

El consentimiento expreso sería obligatorio para el tratamiento de datos especialmente protegidos, incluyendo también los datos genéticos.

Se elimina “El consentimiento no constituirá una base jurídica válida para el tratamiento cuando exista un desequilibro claro entre la posición del interesado y el responsable del tratamiento.”

Derecho de información

Se distingue entre el contenido que debe facilitarse de forma obligatoria, y el que queda condicionado a las “circunstancias y contexto en que los datos personales son tratados”.

De esta forma, el derecho de información se configura de la siguiente forma:

  1. Obligatorio:
  • Identidad y dirección del responsable, y del DPO si existiese;
  • Las finalidades del tratamiento.

2. Condicionado a las circunstancias y contexto del tratamiento de datos:

  • El interés legítimo perseguido por el responsable (cuando el tratamiento se base en el mismo);
  • Los cesionarios;
  • Transferencias internacionales;
  • El ejercicio de los derechos ARCO;
  • La posibilidad de realizar una reclamación ante la Autoridad de Control;
  • Si la recogida de datos personales se fundamenta en la existencia de un contrato, así como las consecuencias de no facilitar los datos;
  • Que se van a adoptar decisiones automatizadas, incluyendo el “profiling”.

Dos nuevos derechos: limitación al tratamiento y obligación de notificar cualquier rectificación, cancelación o restricción en el tratamiento.

Respecto al primero de ellos, el interesado tendría derecho que el responsable limite o restringa el tratamiento de sus datos personales cuando:

  1. El interesado considere que no son exactos, mientras el responsable verifica dicha exactitud;
  2. El responsable ya no necesita tratar los datos personales, y sólo son necesarios por si hubiese una demanda;
  3. El interesado ha ejercitado el derecho de oposición, mientras el responsable decide si todavía existen motivos para seguir el tratamiento de datos.

Respecto al segundo, el responsable debe comunicar a aquellos que haya cedido los datos personales, cualquier rectificación, cancelación o restricción en el tratamiento de los datos de los afectados, salvo que suponga un esfuerzo desproporcionado o sea imposible realizar dicha comunicación.

Obligaciones del responsable del tratamiento

La adopción de medidas para asegurar y demostrar que el tratamiento de datos cumple con el Reglamento, queda condicionada a la finalidad del tratamiento de datos así como los posibles perjuicios que puedan ocasionar sobre los derechos de los afectados.

Estas medidas incluirían también las políticas de cumplimiento por parte del Responsable, cuando sean proporcionadas en relación con el mencionado tratamiento.

Por otra parte, el Parlamento Europeo había denominado a este artículo “Responsabilidad y accountability del responsable”. En esta nueva versión, el título se reduce a “Obligaciones del responsable”.

Seguridad

Las medidas de seguridad se implementarán en razón de la tecnología existente, el coste económico, la naturaleza de los datos y objetivo del tratamiento, así como el riesgo para los derechos y libertades de los afectados.

Desaparece parte del contenido mínimo de las medidas de seguridad que había introducido el Parlamento Europeo, como eran asegurar la existencia de una política de seguridad, o que dichas medidas asegurasen un tratamiento leal y por la persona autorizada.

También se elimina la existencia de medidas de seguridad adicionales para el tratamiento de datos especialmente protegidos.

Lo que se mantiene es que debe asegurarse que el tratamiento se realice bajo las instrucciones del responsable, así como que se tiene que evitar la destrucción de los datos o accesos no autorizados.

Notificación de brechas de seguridad

Se elimina la obligación de notificar cualquier brecha de seguridad a la Autoridad de Control competente, de forma que será únicamente en los siguientes supuestos: que se ponga en riesgo los derechos y libertades de los afectados, robo de identidad o fraude, datos económicos, daño reputacional y datos que estén sometidos al secreto profesional, así como cualquier otro que pueda producir un perjuicio económico y social.

No obstante lo anterior, en el supuesto de que la brecha de seguridad no deba comunicarse al afectado, no será necesario comunicarla a la Autoridad de Control.

Esta cuestión es bastante absurda, ya que en la parte referida a los supuestos en que debe comunicarse la brecha a los afectados, son los mismos supuestos descritos anteriormente como notificación a la Autoridad de Control.

El plazo para notificar se amplía de 24 horas a 72.

Evaluaciones de Impacto de Privacidad

Serán necesarios en los mismos casos que he comentado anteriormente en los que hay que comunicar una brecha de seguridad. Además, también en la elaboración de perfiles, tratamiento de datos del artículo 9 del texto (origen racial, opiniones políticas, condición religiosa, pertenencia a sindicado, datos genéticos, datos de salud, vida sexual), datos biométricos, e infracciones penales.

Por otra parte, se suprime las evaluaciones para el tratamiento de datos biométricos o genéticos de menores de 18 años.

También se elimina que la referencia a “videovigilancia” en relación con los PIAs sobre seguimiento de zonas de acceso público a gran escala cuando se utilicen dispositivos opto-electrónicos.

Asimismo, cada Autoridad de Control podrá establecer aquellos supuestos que considere que es necesario realizar un PIA.

Privacidad por diseño y por defecto

Se deberá tener en cuenta la naturaleza y finalidades en el tratamiento de datos, además del estado de la tecnología y el coste de su implementación, a la hora de desarrollar la privacidad por diseño y por defecto.

 También se especifica que la implantación de medidas y procedimientos técnicos y organizativos apropiados incluye la mininimización y la pseudoanonimización.

 Régimen sancionador

 Se matiza que el derecho de los ciudadanos a reclamar ante una Autoridad de Control está ligado al país donde tenga su residencia habitual, lugar de trabajo o haya ocurrido la posible infracción.

 Se elimina el derecho de que las organizaciones, organismos o asociaciones que tengan por objeto defender los derechos de los interesados, puedan presentar reclamaciones ante cualquier Autoridad de Control.

 Las sanciones económicas, que en la versión inicial del Reglamento, alcanzaban el millón de euros, aparecen sin especificar su cuantía ya que, por ahora, no hay acuerdo entre los Estados miembros. La mayoría de países, incluyendo España, aboga por que se establezcan diferentes escalas (igual que en la LOPD); otros países, encabezados por Reino Unido, lo rechazan.

 Desaparece la figura del apercibimiento, que estaba prevista únicamente para estos dos supuestos:

  1. a) una persona física realiza el tratamiento de datos personales sin interés comercial o,
  2. b) una empresa o una organización que emplee menos de 250 personas trata datos personales únicamente como actividad auxiliar de su actividad principal

 


Enviar una respuesta

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*