Autores: ANDREA ACCUOSTO, CESCOM and IFCA Certified in Corporate Compliance, [email protected]; SANTIAGO NADAL, Lawyer Specialized in IP Law Director, [email protected], SN Abogados, www.snabogados.com, Barcelona, Spain.
El Reglamento General de Protección de Datos (RGPD), UE 2016/679, fue aprobado por el Parlamento de la UE el 27 de abril de 2016, con fecha de entrada en vigor el 25 de mayo de 2018. Los países de la UE están adaptándolo a sus leyes nacionales.
El GDPR armoniza las leyes de privacidad de datos en toda Europa para proteger los derechos de las personas, relacionados con los datos personales, en un mundo cada vez más orientado a los datos.
CONCEPTOS ESENCIALES DEL RGPD
Protección de Datos
El RGPD protege los datos personales: todas las referencias de identificación de cualquier persona. Esto incluye: nombre, número de identificación, ubicación o datos de identificación en línea. También incluye cualquier otro factor, específico de la identidad física, fisiológica, genética, mental, económica, cultural o social de cualquier persona.
El Reglamento incluye datos genéticos y biométricos como datos personales protegidos.
Personas involucradas
El RGPD se refiere a las siguientes personas, involucradas en el proceso de protección de datos:
Propietario. El individuo cuyos datos personales deben ser protegidos.
Responsable. La persona que decide cuándo y cómo se procesan los datos.
Encargado. La persona (excepto los empleados del Supervisor) que procesa los datos en nombre del Responsable.
Receptor. Cualquier persona a la que se divulguen los datos, incluida la divulgación durante el procesamiento de datos para el Encargado.
Consentimiento específico
En términos generales, se necesita el consentimiento del propietario de los datos antes de procesar los datos. El Responsable debe demostrar que obtuvo consentimiento por escrito para procesar dichos datos. El consentimiento debe darse en un lenguaje simple claro, fácil y accesible.
Los niños menores de 16 años no pueden dar consentimiento para ceder sus datos. Debe ser autorizado por el titular de la responsabilidad parental para un propósito específico.
Datos personales especiales
Algunos datos personales son especialmente sensibles: raza u origen étnico, opiniones políticas, religiosas o filosóficas, afiliación sindical, datos genéticos y biométricos, salud, vida u orientación sexual.
En términos generales, el tratamiento de estos datos no está permitido. Solo pueden ser procesados por profesionales bajo obligación de secreto profesional.
Esta información especial se puede procesar en los siguientes casos:
– Con consentimiento explícito para fines específicos.
– Para llevar a cabo obligaciones legales en relación con la Ley de Empleo y Seguridad Social.
– Si son procesados por un organismo sin fines de lucro con objetivos políticos, filosóficos, religiosos o sindicales. Limitado a los miembros en relación con la actividad sin fines de lucro.
– Si los datos fueron hechos públicos por el propietario de los datos.
– Procedimiento judicial.
– Si hay razones sustanciales de interés público.
– Si se utilizan para evaluar la capacidad de trabajo de un empleado, para diagnóstico médico, atención o tratamiento de salud o social o gestión de la salud o asistencia social. Propietario a un contrato con un profesional de la salud y bajo secreto profesional.
– Por razones de salud pública, pero Propietario a secreto profesional.
– Si es de interés público, con fines científicos, históricos, de investigación o estadísticos.
– Si es necesario para proteger los intereses vitales del propietario de los datos o de otra persona, y si el propietario de los datos es incapaz de dar su consentimiento.
Aplicabilidad extraterritorial
El RGPD establece jurisdicción extraterritorial de la UE. Las empresas no pertenecientes a la UE y los profesionales deben cumplir con el Reglamento si:
– Ofrecen bienes o servicios a cualquier persona que se encuentre en la UE.
– Monitorean su comportamiento.
– Procesan sus datos personales.
Independientemente de su ubicación o de dónde se realice el procesamiento o el pago, las empresas, organizaciones y profesionales no pertenecientes a la UE deben designar a un representante en la UE.
Transparencia. Información que debe proporcionarse
El Responsable del Tratamiento debe informar al Propietario de los datos su identidad y detalles de contacto; y del representante del Responsable y del Encargado de la Protección de los Datos, cuando corresponda.
El Propietario de los datos debe ser informado sobre:
– Propósito del procesamiento de los datos.
– Tipos de datos procesados.
– Categorías de destinatarios de los datos.
Si el Responsable de los datos tiene la intención de transferir datos a un tercer país, debe informar al Propietario de los datos al respecto, además de los medios para obtener una copia y dónde se pueden recuperar.
Si el Responsable obtiene los datos de otra fuente, debe informar al Propietario de los datos de:
– Período durante el cual se almacenarán los datos.
– Intereses legítimos para almacenar los datos.
– Derecho a acceder, modificar o borrar datos, y oponerse al procesamiento o portabilidad.
– Derecho a retirar el consentimiento.
– Derecho de queja a una autoridad supervisora.
– Origen / fuente de los datos.
– Toma de decisiones automatizada sobre los datos, incluido el perfil.
El Responsable de los datos proporcionará dicha información:
– Dentro de un período razonable después de obtener los datos. Un mes, a más tardar.
– Si los datos se utilizan para contactar al Propietario de datos, en la primera comunicación.
– Si los datos se divulgarán a un tercero, cuando se revelen por primera vez.
Si el Responsable intenta procesar datos para un propósito diferente del original, debe informar previamente al Propietario de Datos, excepto si:
– El Propietario de datos lo sabe.
– Es imposible o necesita un esfuerzo desproporcionado para informar al Propietario. El Responsable debe tomar medidas para proteger los derechos del Propietario de los datos.
– La obtención o divulgación de los datos es una obligación en virtud de la legislación de la UE o de los Estados miembros.
– Los datos están sujetos a secreto profesional.
Derechos reconocidos para el Propietario de datos
El RGPD reconoce los siguientes derechos:
(i) Acceso a los datos
El derecho de obtener del Responsable de los datos:
– Confirmación de que se procesan sus datos, dónde y con qué fin.
– Una copia de los datos personales, sin costo.
(ii) Derecho al olvidado o borrado de datos
El propietario de los datos tiene derecho a solicitar al Responsable de los datos que:
– Elimine sus datos personales.
– Cese en la difusión de datos
– Que terceros detengan el procesamiento de sus datos.
El derecho de eliminación incluye datos que ya no son relevantes para el procesamiento original; y casos en que el Propietario de datos haya retirado su consentimiento.
El derecho a la eliminación de datos es limitado cuando el procesamiento de datos es necesario para:
– Garantizar la libertad de expresión.
– Cumplir con la obligación legal de un Estado miembro de la UE o la UE.
– Razones de salud pública.
– Fines estadísticos, históricos, científicos o de investigación.
– Casos de defensa ante los Juzgados.
El Responsable de los datos que recibe una solicitud de eliminación debe verificar si hay razones para oponerse.
(iii) Limite el procesamiento de datos
El Propietario de los datos puede limitar su procesamiento de datos personales cuando:
– Los datos son inexactos.
– El procesamiento de datos fue ilegal.
– El Responsable no necesitaría los datos para fines de procesamiento.
– El Propietario había ejercido su derecho de oposición.
Cuando el Propietario ha limitado el procesamiento de sus datos para que solo se puedan procesar:
– Con su consentimiento.
– Para proteger los derechos de otras personas.
– Por razones importantes de interés público.
(iv) Derecho a ejercer la portabilidad de datos
Los Propietarios de datos tienen derecho a:
– Recibir sus datos, en formato legible y transferirlos a otro Responsable de datos.
– Ordenar que sus datos se transfieran directamente a otro Responsable de datos.
(v) Privacidad por diseño y por defecto
De acuerdo con el RGPD, los Responsables de los datos deben cumplir con los principios de protección de datos. Entre otros:
– Reducir el procesamiento de datos personales tanto como sea posible.
– Cancelar los datos personales lo antes posible.
– Ser transparente en las funciones y procesamiento de datos personales.
– Permitir la supervisión del procesamiento de datos.
– Crear y mejorar las medidas de seguridad de los datos.
– Tener en cuenta los derechos de protección de datos, al desarrollar, diseñar, seleccionar y utilizar aplicaciones, servicios y productos basados en el procesamiento de datos personales o que procesen datos personales.
– Asegurarse de que los Responsables y Encargados del procesamiento puedan cumplir con sus obligaciones.
El Responsable debe implementar medidas técnicas y organizativas para lograr estos objetivos.
Los Responsables deberán:
– Conservar o procesar solamente los datos que sean necesarios para completar sus tareas; y
– Limitar el acceso a los datos a quienes necesitan acceder para su procesamiento.
(vi) Derecho a no estar sujeto a decisiones automatizadas
Cualquier residente de la UE tiene derecho a no estar sujeto a una decisión basada en el procesamiento automatizado, incluida la elaboración de perfiles, si el Propietario de los datos:
– Se ve afectado a efectos legales; o
– Tiene consecuencias significativas
– La prohibición anterior no se aplicará si:
– El tratamiento es necesario para la celebración o ejecución de un contrato entre la parte y un Responsable de datos.
– Autorizado por la legislación de los Estados miembros de la UE o la UE aplicable a los Responsables de datos; y establece medidas para proteger los derechos del Propietario e intereses legítimos.
– Basado en el consentimiento explícito del Propietario de datos.
El Responsable deberá proteger los derechos y libertades y los intereses legítimos de la parte interesada. Especialmente, los derechos a:
– Obtener intervención humana;
– Expresar su punto de vista.
(vii) Obligación de notificar una infracción de la seguridad
Una infracción de la seguridad en los datos puede resultar en un alto riesgo de derechos y libertades personales. El Responsable de los datos tiene la obligación de informar a las personas involucradas y a las autoridades, a más tardar 72 horas después de haber tenido conocimiento de ello.
Los Encargados de datos deben notificar a sus clientes y a los Responsables, sin demora, de dicha infracción.
Los Responsables de datos deben mantener un registro de las infracciones de seguridad, sus efectos y acciones tomadas para resolver el problema.
Transferencia de datos personales a terceros países
Cualquier transferencia de datos a un tercer país solo puede tener lugar en las condiciones establecidas en el RGPD.
Los datos solo se pueden transferir a terceros países que garanticen un nivel adecuado de protección, según la Comisión de la UE. La transferencia no necesita una autorización específica.
La Comisión tendrá en cuenta si el tercer país:
– Respeta el estado de derecho, los derechos humanos y las normas de protección de datos, similares al RGPD.
– Tiene autoridades independientes para garantizar y hacer cumplir las reglas de protección de datos.
Si la Comisión no ha decidido sobre un país específico, los datos solo se pueden enviar si:
– El Responsable o el Encargado de procesar los datos proporcionan protección apropiada, a través de reglas corporativas vinculantes; y
– Con la condición de que los derechos del Propietario de los datos y los recursos legales estén disponibles.
En ausencia de garantías / normas corporativas vinculantes, los datos solo se pueden transferir a un tercer país si, (entre otros):
– El Propietario de los datos ha aceptado explícitamente la transferencia.
– La transferencia es necesaria para la ejecución de un contrato entre el Responsable y el Propietario de Datos (o en su interés).
El Responsable debe informar de la transferencia a la Autoridad Supervisora correspondiente.
Recursos, Responsabilidad y Sanciones
Los Propietarios de datos tienen derecho a reclamar ante una Autoridad Supervisora si el procesamiento de sus datos infringe el Reglamento. También puede reclamar judicialmente.
Compensación y responsabilidad
Los Responsables de los datos serán responsables del daño causado por procesamientos que infrinjan el Reglamento. Los Encargados solo serán responsables si no han cumplido con las obligaciones específicas o si han actuado en contra de las instrucciones del Responsable.
Responsables y Encargados no serán responsables si demuestran que no tienen responsabilidad en los hechos que hayan ocasionado la infracción de seguridad de los datos.
Multas administrativas
El RGPD establece que las Autoridades Supervisoras impondrán multas administrativas en caso de infracciones del Reglamento.
Se deben tener en cuenta las circunstancias de la infracción al decidir el monto de la multa.
Entre otros:
- Naturaleza, gravedad y duración de la infracción.
- Si la infracción es intencional o negligente.
- Acciones del Responsable o del Encargado para mitigar el daño.
- Medidas tomadas para evitar infracciones.
- Infracciones previas.
- Cooperación con la Autoridad Supervisora.
- Si notificaron la infracción.
El RGPD aplica severas multas administrativas por infracción de datos.
En las “infracciones más graves”, las multas pueden ser de hasta el 4% de la facturación global anual de la compañía o 20 millones de Euros (lo que sea mayor).
Existe un escalafón para la imposición de multas. A una empresa se le puede imponer una multa de hasta un 2% de su facturación, por no tener sus registros en orden o por no notificar a la Autoridad Supervisora o al Propietario de datos sobre una infracción en la seguridad de sus datos; o no realizar una evaluación de impacto.
Estas reglas se aplican tanto a los Responsables como a los Encargados. Esto implica que la información en la “nube” no estará exenta de la aplicación de RGPD.
Oficiales de Protección de Datos (OPD)
Los Estados miembros de la UE tienen reglamentaciones heterogéneas sobre las cifras de OPD, antes del RGPD, pero ahora será obligatorio en todos los países de la UE tener al menos Oficiales de Protección de datos, establecidos en el RGPD.
Los Responsables y los Encargados de los datos serán las figuras obligatorias mínimas de OPD.
Su actividad será procesar y controlar las operaciones de datos, cuando:
– Se necesita un monitoreo regular y sistemático de los Propietarios de datos a gran escala.
– Se incluyan tipos especiales de datos o datos relacionados con condenas y delitos penales.
– El procesamiento de datos incluye datos de organismos públicos.
Los OPD deben:
– Ser nombrados sobre la base de cualidades profesionales. En particular, conocimiento especializado en leyes y prácticas de protección de datos.
– Ser un miembro del personal o un proveedor de servicios externo.
– Recibir los recursos adecuados para llevar a cabo sus tareas.
– Informe directamente al más alto nivel de gestión
– No llevar a cabo ninguna otra tarea que pueda generar un conflicto de intereses.