Siguiendo nuestros anteriores artículos, el próximo 25 de Mayo será de aplicación el Reglamento General Europeo sobre la Ley orgánica de Protección de Datos.

En España ya se encuentra en tramitación el Anteproyecto de reforma de la ley orgánica de protección de datos vigente, para adaptar sus disposiciones al nuevo marco europeo.

En este contexto, es importante saber qué pasos o qué modificaciones deberán realizar las Sociedades que tratan con datos de carácter personal, con la finalidad de cumplir con la ley orgánica de protección de datos:

El consentimiento y deber de informar:

Desaparece el hasta ahora consentimiento tácito del interesado para el tratamiento de sus datos de carácter personal, por lo que será necesaria una declaración o acción expresa, explícita y específica de la persona cuyos datos vayan a tratarse. Asimismo, las empresas deberán verificar si los consentimientos de los datos ya obtenidos cumplen tal requisito y, de lo contrario, deberá recabarse el consentimiento expreso. Ello comportará una necesaria modificación de los formularios o métodos utilizados para obtener la información de forma inequívoca.

En cuanto al deber de informar, según la ley orgánica de protección de datos, se amplía la información al interesado del cual se han recabado datos personales. Si hasta ahora se le informaba de sus derechos, de la finalidad por la que se solicitaban los datos y del fichero en el que se incorporaban, ahora deberá informársele del plazo y los criterios de conservación de sus datos y la base legal que lo legitima, entre otros.

Desaparición de la obligación de inscripción de ficheros ante la Agencia Española de Protección de Datos y de la distinción de niveles de seguridad:

El Reglamento europeo, asimismo, tampoco hace mención a la, hasta ahora, obligación, según la normativa española, de inscripción de los ficheros con datos de carácter personal (clientes, contactos, proveedores…) ni a la distinción de los niveles de seguridad (bajo, medio y alto) que correspondían a cada uno de ellos, ante el registro público de la Agencia Española de Protección de Datos. Por tanto, desaparece la obligatoriedad de inscripción, así como de la clasificación de niveles de seguridad de los ficheros. Las medidas de seguridad deberán, por tanto, ser las que la empresa considere oportunas, sin distinción de niveles predeterminados.

Análisis de Riesgos:

El Reglamento no hace referencia al Documento de Seguridad ni a la Auditoría de Protección de Datos de la hasta ahora vigente Ley española en la materia, mediante los cuales quedaban especificados y, en su caso, auditados, los protocolos de actuación de las empresas en materia de protección de datos de carácter personal. Con el  Reglamento europeo las empresas estarán obligadas a analizar los riesgos y a evaluar el impacto y, para ello deben establecer unos protocolos, procedimientos y medidas de actuación que podrán documentarse, por ejemplo, con un Documento de Seguridad.

Informe de Evaluaciones de Impacto:

Cuando el tratamiento de los datos de carácter personal suponga un alto riesgo para los derechos y libertades de los interesados, la empresa deberá acreditar, mediante Informe, el tratamiento que se realiza y las medidas adoptadas para minimizar el riesgo.

Registro de Actividades del Tratamiento de los datos de carácter personal:

Las empresas deberán llevar un Registro en el que quedarán identificados los tratamientos y flujos de datos, información que deberá presentarse a requerimiento de la Agencia Española de Protección de Datos.

Brechas de seguridad:

Cuando se de un supuesto de problemas en la seguridad de la protección de datos, la empresa estará obligada a comunicarlo en el plazo de 72 horas a la Agencia Española de Protección de Datos y, en los casos en que proceda por la gravedad del hecho, a los propios interesados. Hasta ahora las empresas sólo llevaban un registro de incidencias, por lo que para adaptarse a esta nueva dinámica, deberán establecer unos protocolos de actuación a tal efecto.

La nueva figura del Delegado de protección de Datos:

Según la normativa vigente las empresas debían tener responsables y encargados del tratamiento. El Reglamento europeo establece una nueva figura, la del  Delegado de Protección de Datos, obligatoria (aunque puede nombrarse aunque no se esté obligado) para:

  • Autoridades y organismos públicos
  • Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.

Los dos últimos supuestos, el Anteproyecto de la ley orgánica de protección de datos los circunscribe a:

  • Los colegios profesionales y sus consejos generales.
  • Los centros docentes y las Universidades públicas y privadas.
  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas.
  • Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Las entidades de ordenación, supervisión y solvencia de entidades de crédito.
  • Los establecimientos financieros de crédito.
  • Las entidades aseguradoras y reaseguradoras y de servicios de inversión.
  • Los distribuidores y comercializadores de energía eléctrica y de gas natural.
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia  patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados.
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
  • Quienes desempeñen actividades de Seguridad Privada.

El Delegado de Protección de datos podrá ser una persona física o jurídica, interna o externa a la empresa, que realizará labores de información, análisis, asesoramiento, supervisión y cooperación con las autoridades en la materia, que deberá cumplir los requisitos legales de cualificación para el ejercicio de tal función e inscribirse ante la Agencia Española de Protección de Datos.


Sobre el autor:

 

Maria Amparo León

DiG Abogados

Linkedin