TOP

GUÍA DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS PARA RESPONSABLES DE TRATAMIENTO


La Agencia Española de Protección de Datos (en adelante, AEPD) ha elaborado un documento, a modo de guía y orientado a responsables de tratamiento, para facilitar que éstos puedan conocer el impacto que va a tener la aplicación del Reglamento General de Protección de Datos (en adelante RGPD) en la forma en la que tratan datos así como las medidas que deben adoptar para que puedan adaptar paulatinamente sus procesos a la nueva normativa.
A continuación, ofrecemos un resumen con los aspectos más destacados de dicha guía . 
1.- INTRODUCCIÓN
El RGPD es una norma de aplicación directa que no requiere transposición a los ordenamientos jurídicos nacionales. Por tanto, el responsable de tratamiento debe tener muy en cuenta que la norma de referencia es el citado Reglamento y no las nacionales. No obstante, el propio RGPD contempla la posibilidad de que la normativa nacional incluya precisiones o desarrollos en ciertas materias. En el caso de España, según ha manifestado la AEPD, esta posibilidad se contemplará en la ley que, en un futuro, sustituya a nuestra actual LOPD.
No obstante, el RGPD contiene directrices similares a las que ya figuraban en la Directiva 95/46 y en las normas nacionales que la trasponen; por tanto, partimos de la base de que quien actualmente cumple con la LOPD dispone de una buena base de partida hacia una correcta aplicación del RGPD.
El RGPD introduce nuevas obligaciones para los responsables de tratamiento basadas, principalmente, en 2 pilares:
• El principio de responsabilidad proactiva: es la necesidad de que el responsable de tratamiento aplique medidas técnicas y organizativas para garantizar y demostrar que el tratamiento de datos que realiza es conforme al RGPD. En pocas palabras, se exige al responsable de tratamiento una actitud consciente, diligente y proactiva.
• El enfoque de riesgo: la aplicación de las medidas dirigidas a garantizar el cumplimiento del RGPD debe adaptarse a las características de los responsables de ficheros teniendo en cuenta la naturaleza, ámbito, contexto, fines del tratamiento y riesgo para los derechos y libertades de las personas.
2.- BASES DE LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS
Siguiendo las directrices de la Directiva 95/46, el RGPD establece, igualmente, que todo tratamiento de datos necesita apoyarse en una base que lo legitime, es decir:
? Consentimiento.
? Relación contractual.
? Interés vital de interesado o terceros.
? Obligación legal para el responsable.
? Interés público o ejercicio de poderes públicos.
? Intereses legítimos prevalentes del responsable o de terceros a los que se comuniquen datos.
Es fundamental, por tanto, documentar e identificar claramente la base legal sobre la que se desarrolla el tratamiento. Cuando proporcionemos la información al interesado relativa al tratamiento de sus datos, debemos incluir expresamente la base legal que legitima dicho tratamiento.
Del mismo modo, el responsable del tratamiento deberá, en su caso, especificar y documentar los intereses legítimos en que se fundamentan ciertos tratamientos (por ejemplo, determinadas transferencias internacionales).
Por otro lado, el RGPD determina expresamente que, en los casos en los que la legitimación al tratamiento se base en el consentimiento del interesado, éste ha de ser siempre inequívoco, entendiéndose como el que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. El RGPD no permite formas de consentimiento tácito o por omisión. No obstante, será posible otorgar un consentimiento inequívoco, si bien de forma implícita cuando este consentimiento se pueda deducir de una acción del interesado. A modo de ejemplo: cuando se continúa navegando por una web (con la primera capa informativa activada) se entiende que el usuario acepta que se utilicen cookies.
Por otro lado, se contemplan situaciones donde el consentimiento, además de inequívoco, debe ser explícito: tratamiento de datos sensibles, adopción de decisiones automatizadas y transferencias internacionales.
Todos los consentimientos recabados con anterioridad a la entrada en vigor del RGPD deberán ser revisados para verificar que se recabaron mediante manifestación o acción afirmativa.
3.- TRANSPARENCIA E INFORMACIÓN A LOS INTERESADOS
Hasta ahora, la normativa local exigía que la información que se facilitaba a los interesados sobre el tratamiento de sus datos debía prestarse de modo expreso, preciso e inequívoco. El RGPD prevé que cualquier tipo de información que se facilite al interesado debe proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con lenguaje claro y sencillo con independencia de los conocimientos que éste pueda tener de la materia.
Las nuevas cláusulas informativas, que deberán facilitarse por escrito, deberán incluir todos los requisitos establecidos en el artículo 5 LOPD más:
? Base jurídica del tratamiento.
? Intención de realizar transferencias internacionales.
? Datos del DPO, si lo hubiera.
? Elaboración de perfiles.
4.- DERECHOS DE LOS INTERESADOS
Además de los “tradicionales” derechos ARCO, el RGPD contempla nuevos derechos. Los procedimientos y formas para el ejercicio de derechos deberán ser sencillos, visibles y accesibles. Se requiere también posibilitar la presentación de solicitudes por medios electrónicos.
Así mismo, será posible solicitar un canon por la tramitación de ejercicios de derechos cuando se trate de solicitudes manifiestamente infundadas o excesivas (porque sean, por ejemplo, repetitivas). Este canon se limitará exclusivamente a compensar los costes administrativos.
En cuanto a los plazos, se dispone de 1 mes para informar sobre cualquier actuación derivada de la petición, incluida la no tramitación de la solicitud por considerarse que no proceda. El plazo de respuesta (en caso de admitir la solicitud) se podrá ampliar a 2 meses cuando dichas solicitudes sean especialmente complejas.
1. Derecho de acceso: El RGPD reconoce el derecho del interesado a obtener una copia de los datos personales objeto del tratamiento si bien, se podrá facilitar un acceso remoto a un sistema seguro para ofrecer al interesado un acceso directo a sus datos personales.
Cuando se trate una gran cantidad de información sobre un interesado se podrá pedir que se concrete la información sobre la que solicita el derecho de acceso.
2. Derecho al olvido: es la consecuencia de la aplicación del derecho al borrado de los datos personales en el entorno de Internet. Si se ejercita este derecho y se hubieran hecho públicos los datos personales, el responsable deberá adoptar medidas técnicas para informar a otros responsables sobre la solicitud de borrado.
3. Limitación del tratamiento: el interesado solicita que no se apliquen a sus datos personales alguna de las operaciones de tratamiento que se están llevando a cabo sobre ellos. No debe confundirse con el bloqueo de datos conforme a la LOPD ya que la limitación del tratamiento es un derecho del interesado. En concreto se puede solicitar:
? Si el interesado solicita la rectificación u oposición y mientras que el responsable determina si procede la solicitud.
? Si el tratamiento de datos es ilícito (lo que supondría el borrado automático de datos) pero el afectado se opone a dicho borrado.
? Cuando los datos ya no son necesarios pero el interesado solicita que, en vez de que se borren, se limite su tratamiento para que estén accesibles en caso de deber formular algún tipo de reclamación.
Si los datos están “limitados”, éstos solo se podrán tratar:
? Con el consentimiento del interesado.
? Para la tramitación de reclamaciones.
? Para proteger los derechos de otra persona (física o jurídica).
? Por razones de interés público importante.
4. Portabilidad:  se estructura como el derecho que tiene todo interesado a recibir los datos personales que le incumban y que haya facilitado a un responsable del tratamiento y a transmitirlos a otro responsable sin que lo impida el responsable al que se los hubiera facilitado. La información que se ha de facilitar al interesado se le ofrecerá en un formato “estructurado, de uso común y lectura mecánica”. El ejercicio de este derecho implica que los datos personales se transmiten de un responsable a otro sin necesidad de que pasen por el interesado, siempre que esto sea técnicamente posible. No obstante, la portabilidad de datos se configura también, según ha manifestado el Grupo de Trabajo del artículo 29, como un derecho a recibir los datos que son tratados por el responsable y almacenarlos para uso personal adicional en un dispositivo privado, sin transmitirlo a otro responsable.
Es un derecho limitado, que solo se puede ejercer:
? Para tratamientos automatizados.
? Cuando el tratamiento esté legitimado por consentimiento o por contrato.
? Cuando se solicita respecto de los datos que el propio interesado ha proporcionado al responsable y los derivados de la propia actividad del interesado.
5.- RELACIONES RESPONSABLE-ENCARGADO
El RGPD establece nuevas obligaciones:
? Tanto responsables como encargados de tratamiento deberán mantener un registro de actividades de tratamiento
? El encargado de tratamiento deberá determinar las medidas de seguridad a aplicar en los tratamientos que se realizan por cuenta del responsable
? Responsables y encargados deberán designar un DPO cuando esto sea necesario.
Para demostrar que un encargado de tratamiento ofrece las garantías exigidas por el RPGD, éste se podrá adherir a códigos de conducta o certificarse conforme a los esquemas que están previstos en el RGPD.
Por su parte, el responsable tendrá que adoptar medidas apropiadas para garantizar y demostrar que su encargado de tratamiento realiza dicho tratamiento conforme al RGPD.
El contrato de encargo de tratamiento debe contener, además de lo ya contemplado en el artículo 12 de la actual LOPD:
? Objeto, duración, naturaleza y finalidad del tratamiento
? Tipo de datos y categoría de interesados
? Asistencia al responsable, si es posible, en la atención de ejercicio de derechos.
Los contratos que hayan sido formalizados antes del 25 de mayo de 2018 deberán revisarse para adaptarse a los nuevos requisitos. Según ha manifestado la AEPD, no se considerarán válidas las remisiones genéricas a los artículos correspondientes del RGPD.
6.- MEDIDAS DE RESPONSABILIDAD ACTIVA
Se trata de una serie de medidas dirigidas a garantizar y poder demostrar que los tratamientos de datos son conformes al RGPD.
1. Análisis de riesgo: las medidas de responsabilidad se adoptarán teniendo en cuenta el riesgo que el tratamiento pueda suponer para los derechos y libertades de los interesados. De este modo, algunas medidas solo se aplicarán cuando el tratamiento suponga un alto riesgo y en otros casos las medidas deberán modularse en función del nivel y tipo de riesgo.
Todos los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen para establecer las medidas a aplicar. El tipo de análisis a realizar tendrá en cuenta:
? Los tipos de tratamiento.
? Naturaleza de los datos.
? Número de interesados afectados.
? La cantidad y variedad de tratamientos que se lleven a cabo dentro de una misma organización.
Las grandes organizaciones podrán llevar a cabo la valoración de su riesgo con alguna de las metodologías de análisis de riesgo ya existentes.
Por su parte, las organizaciones de menor tamaño o con tratamientos poco complejos podrán realizar su análisis basado en una reflexión, mínimamente documentada, sobre las implicaciones del tratamiento en los derechos y libertades de los interesados. Los aspectos mínimos a tener en consideración serán:
? Si se tratan datos sensibles.
? Se manejan datos de una gran cantidad de interesados.
? Se realizan elaboraciones de perfiles.
? Se cruzan datos de interesados con otros disponibles en otras fuentes.
? Si los datos se van a utilizar, además de para la finalidad principal, para otro tipo de finalidades.
? Si se trata gran cantidad de datos, incluido análisis masivo tipo big data.
? Si se utilizan técnicas tipo geolocalización, videovigilancia a gran escala o algunas aplicaciones del Internet de las Cosas .
2. Registro de actividades de tratamiento. Deberá contener:
? Datos del contacto del responsable y del DPO si existiera.
? Finalidades de cada tratamiento.
? Categoría de interesados y de datos personales tratados.
? Transferencias internacionales de datos.
Las organizaciones de menos de 250 trabajadores están exentas de mantener este registro, salvo que el tratamiento que realicen pueda suponer un riesgo para los derechos y libertades de los interesados o se manejen categorías especiales de datos o datos de condenas e infracciones penales.
Un punto de partida para la elaboración de este registro son los ficheros que actualmente tienen notificados las organizaciones. Se deberá ampliar detallando las operaciones que se realizan en cada conjunto de datos. También será posible elaborar el registro partiendo de las finalidades de tratamiento (gestión de clientes, gestión de recursos humanos …)
3. Protección de datos desde el diseño y por defecto. El responsable debe tener en cuenta el concepto de protección de datos desde el momento en que se diseña un tratamiento. Es un concepto de responsabilidad proactiva.
Se trata de tomar medidas organizativas y técnicas desde el principio para garantizar que los tratamientos cumplen con el RGPD y que solo se traten los datos necesarios (cantidad, extensión, conservación y accesibilidad).
4. Medidas de seguridad. Se deberán establecer en función de los riesgos detectados en el análisis previo y teniendo siempre en cuenta el coste de la técnica, de su aplicación, naturaleza, alcance, contexto y fines del tratamiento, así como los riesgos para los derechos y libertades del interesado.
El esquema de medidas de seguridad establecido en el actual Reglamento de Desarrollo de la LOPD dejará de ser válido en mayo de 2018, si bien, según ha manifestado la AEPD, podrán seguirse aplicando ciertas medidas reflejadas en este texto si los resultados del análisis de riesgos previo determinan que las medidas ya implantadas son las más adecuadas.
5. Notificación de violaciones de seguridad. Son los incidentes que deriven en destrucción, pérdida o alteración accidental o ilícita de datos personales, así como la comunicación o acceso no autorizado a dichos datos. Se tendrá constancia de una violación de seguridad cuando hay certeza de que ésta se ha producido y se conoce su naturaleza y alcance. Todas las violaciones de seguridad deberán estar debidamente documentadas.
Es obligatorio notificar a la autoridad de protección de datos cuando se produzca una violación de seguridad a menos que ésta no suponga un riesgo para los derechos y libertades de los interesados. Se debe realizar sin dilación indebida y, siempre que sea posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella. Se deberá notificar:
? Naturaleza de la violación.
? Categoría de datos y de interesados afectados.
? Medidas adoptadas para solventar la quiebra.
? Medidas adoptadas para paliar los posibles efectos negativos sobre los interesados, si procediera.
Cuando la violación de seguridad pueda suponer un alto riesgo  para los derechos y libertades de los interesados, será obligatoria su notificación al interesado sin dilación indebida para permitir que pueda tomar medidas para protegerse de las consecuencias de dicha violación de seguridad; es decir, que el afectado pueda reaccionar tan pronto como sea posible. En cualquier caso, la notificación deberá incluir recomendaciones sobre las medidas que el interesado puede tomar para hacer frente a dichas consecuencias.
Esta notificación no será necesaria cuando se hubieran tomado medidas apropiadas con anterioridad a la violación de seguridad (por ejemplo, cifrado de datos) o cuando se tomen medidas a posteriori que garanticen que el alto riesgo no se materialice. Tampoco se notificará cuando esto suponga un esfuerzo desproporcionado; en este último caso se deberá sustituir por medidas alternativas.
La AEPD ha señalado que el actual canal para notificación de quiebras de seguridad para operadores de servicios de comunicaciones electrónicas, accesible a través de la Sede Electrónica de la AEPD, se adaptará para su uso como canal de comunicación de violaciones de seguridad. Por su parte, el Grupo de Trabajo del Artículo 29 también está preparando un formulario de comunicación de notificaciones para armonizar criterios.
6. Evaluación del impacto. El RGPD establece un contenido mínimo de estas evaluaciones y la AEPD ha manifestado que adaptará la Guía que, sobre este aspecto, publicó en 2014 .
Las evaluaciones se deberán realizar con carácter previo a la puesta en marcha de los tratamientos que impliquen un alto riesgo para los derechos y libertades de los interesados. Si, como consecuencia de este estudio se identifica un alto riesgo que no se pueda mitigar, el responsable deberá consultar con la autoridad de protección de datos.
Se consideran tratamientos que conllevan un alto riesgo:
? Elaboración de perfiles para tomar decisiones que produzcan efectos jurídicos o les afecten significativamente de modo similar
? Tratamientos a gran escala de datos sensibles: teniendo en cuenta el número de interesados afectados, volumen y variedad de datos tratados, duración o permanencia del tratamiento y extensión geográfica del tratamiento.
? Observación sistemática a gran escala de zonas de acceso público.
Por otro lado, las autoridades de protección de datos tienen encomendada la confección de listas adicionales de tratamientos que requieran evaluaciones de impacto, así como listas de tratamientos que no necesitarán de estas evaluaciones. También está prevista la publicación de herramientas para determinar la necesidad de realizar evaluaciones del impacto.
Ya que el RGPD se basa en un principio de responsabilidad activa, estos listados no eximen al responsable de realizar el correspondiente análisis de riesgos como buena práctica cuando se pretendan poner en marcha nuevas operaciones de tratamiento de datos.
7. Delegado de Protección de Datos (DPO). Será obligatorio en los siguientes casos:
? Autoridades y organismos públicos
? Cuando se realicen tratamientos que requieran observación habitual y sistemática  de interesados a gran escala.
? Tratamiento a gran escala de datos sensibles.
El DPO deberá disponer de cualificación profesional y para ello deberá contar con conocimientos jurídicos y técnicos aplicados al tratamiento de datos. Debe disponer de total autonomía y reportará al nivel superior de la organización donde desarrolle sus funciones. Se trata de una figura a la que se dotará de todos los recursos necesarios para el desarrollo de dichas funciones. El propio RGPD dispone de un catálogo exhaustivo de funciones a asumir.
Su nombramiento y datos de contacto se harán públicos y se comunicarán a las autoridades de supervisión pudiendo tratarse tanto de personas físicas como jurídicas externas a la organización.
La AEPD promueve un sistema de certificación de profesionales de protección de datos como herramienta útil para evaluar candidatos a DPO. Las certificaciones se otorgarán por certificadoras acreditadas previamente por la ENAC (Entidad Nacional de Acreditación)
7.- TRANSFERENCIAS INTERNACIONALES DE DATOS
En lo que se refiere a transferencias internacionales de datos, el RGPD sigue las líneas de la directiva 95/46, de la LOPD y de su Reglamento de Desarrollo. No obstante, será necesario tener en cuenta:
? Si ya se realizaban transferencias basadas en una decisión de adecuación de la Comisión, se podrán seguir realizando siempre que no sean sustituidas o derogadas.
? Del mismo modo, las cláusulas tipo para los contratos (CCT) seguirán siendo válidas hasta que no se sustituyan o deroguen. Se añaden como instrumentos para ofrecer garantías las Normas Corporativas Vinculantes, códigos de conducta, esquemas de certificación y cualquier cláusula contractual modelo que se apruebe por las autoridades. En estos casos, no se requerirá autorización de las autoridades para llevar a cabo la transferencia.
? Las autorizaciones concedidas teniendo como base garantías contractuales seguirán siendo válidas hasta que las autoridades no las revoquen.
? Las garantías sobre la protección que recibirán los datos en destino las debe ofrecer el exportador.
? Será posible realizar transferencias a terceros países sin nivel adecuado de protección cuando sea necesario para satisfacer intereses legítimos imperiosos del responsable y siempre y cuando la transferencia no sea repetitiva y afecte solo a un número determinado de interesados. En cualquier caso, la transferencia deberá comunicarse a la autoridad de protección de datos.
8.- TRATAMIENTOS DE DATOS DE MENORES
Cuando se realice tratamiento de datos en el ámbito de la oferta directa de servicios de la sociedad de la información, el consentimiento de menores solo será válido a partir de los 16 años.
No obstante, el RGPD da la posibilidad de regular la edad de consentimiento a cada estado miembro, siempre que ésta no sea inferior a los 13 años. Actualmente es límite en España está situado en 14 años por lo que es probable que la norma que sustituya a la LOPD regule este aspecto.
Los responsables deberán hacer “esfuerzos razonables” para verificar que, en caso de menores, han sido los padres o tutores los que han otorgado el consentimiento.
Por último, la Guía presenta dos listas de verificación (una completa y otra simplificada) para que responsables y encargados puedan empezar a evaluar cuál es su situación ante el nuevo RGPD. Las listas están basadas en preguntas que hacen referencia a todos los aspectos anteriormente descritos.

Madrid, febrero de 2017.
Helas Consultores, S.L.







HELAS CONSULTORES, S.L.: especialistas en Consultoría y Auditoría centrándose nuestra actividad en la prestación de servicios integrales encaminados al cumplimiento de las actuales legislaciones sobre Sistemas de Gestión e Información y, especialmente, en los ámbitos de Protección de Datos de Carácter Personal, Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, Responsabilidad Penal de la Persona Jurídica, Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, Seguridad de la Información y Derecho TIC, Gestión de la Seguridad de la Información, Gestión de la Continuidad de Negocio, Gestión de la Seguridad TIC, Esquema Nacional de Seguridad y Esquema Nacional de Interoperabilidad.