Índice
Tras la entrada en vigor de la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante LOPD), que tiene como objetivo adaptar el Reglamento europeo General de Protección de Datos (en adelante RGDP), se ha modificado el tratamiento de los datos personales de los usuarios que dispongan las empresas. El objetivo de estas leyes es proteger el tratamiento de datos personales y los derechos fundamentales de las personas físicas (como, por ejemplo, la intimidad personal y familiar). Con la presente ley, los usuarios tienen ahora un mayor control sobre sus datos, y pueden tomar decisiones sobre quién puede utilizar su información personal, con qué finalidad, hasta cuándo, pudiendo solicitar en todo momento a las empresas el acceso, la rectificación o la oposición al tratamiento de sus datos. La presente guía tiene como objetivo tratar las claves fundamentales que deben respetar todas las empresas para no vulnerar los principios más básicos de la nueva LOPD y del RGDP.
Cualquier persona o entidad pública o privada que realice un tratamiento automatizado de datos personales y que utilice cualquier dato personal en el desarrollo de sus actividades está obligada a respetar lo dispuesto en la la nueva LOPD y en el RGDP. Es decir, da igual que se sea autónomo o empresa, que se tenga empleados a cargo o no, que sea una ONG o una empresa privada. Por tanto, si una empresa o persona física utiliza datos de proveedores, datos de clientes, datos de suscriptores...etcétera, estará obligada a cumplir la LOPD y el RGDP.
No obstante, existen una serie de excepciones, siendo la más importante la siguiente: "aquellas actividades exclusivamente personales o domésticas". Por tanto, la agenda de los móviles con los contactos personales de amigos o familiares no se encuentra sujeta al RGPD.
El responsable del tratamiento de datos es la persona física o jurídica que tiene la obligación de decidir sobre el tratamiento de los datos: con qué finalidad se van a utilizar, con qué tercero se van a compartir, cuánto tiempo se van a conservar.
El responsable del tratamiento deberá determinar si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.
Por su parte, el encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable del tratamiento. Es decir, le corresponde al responsable decidir sobre la finalidad o los usos de la información, mientras que el encargado del tratamiento sería quien tiene que cumplir escrupulosamente con las instrucciones. Lo ideal para regular la relación entre ambas figuras es a través de un contrato, el cual conste por escrito.
El encargado del tratamiento deberá tomar todas las decisiones organizativas y operacionales necesaria para el buen desempeño de su servicio. No obstante, en ningún caso podrá variar las finalidades o los usos de los datos, pues siempre tendrá que respetar las directrices del responsable del tratamientos de datos.
El Delegado de Protección de Datos (DPD) o Data Protection Officer (DPO) es una nueva figura, que debe ser especialista en derecho de protección de datos, y que se crea al lado de las figuras del responsable y del encargado del tratamiento de los datos. Por tanto, debe reunir una serie de cualidades y acreditar conocimientos en esta materia, por lo que no se puede contratar a cualquier persona. Esta figura ya estaba presente anteriormente en otros países, pero ahora el RGPD impone esta figura en determinados supuestos como:
El delegado de protección de datos será el responsable de actuar como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos, y las autoridades autonómicas de protección de datos pertinentes. Asimismo, podrá inspeccionar los procedimientos relacionados con el cumplimiento del RGPD y emitir recomendaciones en el ámbito de sus competencias. Es importante destacar que se le debe garantizar su independencia dentro de la organización, por lo que no se le podrá despedir ni sancionar por desempeñar sus funciones, salvo que incurriera en una negligencia grave en su ejercicio.
¿Cuándo es obligatorio según la LOPD? La ley española establece hasta 16 casos concretos en los que, de manera taxativa, se exige su existencia. Estos son: colegios profesionales, centros de enseñanza, establecimientos financieros de créditos, aseguradoras, empresas de servicios de inversión…entre otros.
Anteriormente, se debían inscribir los ficheros en la Agencia Española de Protección de Datos. Con la entrada en vigor del RGPD y la nueva LOPD, desaparecen los ficheros pero en su lugar, se exige al responsable de tratamiento un registro de actividades de tratamiento (RAT). Se trata de un documento que debe definir los tratamientos que se hace, que describa las actividades, y las medidas de seguridad que se aplican. Es un documento obligatorio y puede ser requerido por la autoridad de control (la agencia de protección de datos) en cualquier momento, por lo que éste deberá estar actualizado.
Este registro no es obligatorio cuando la entidad emplee a menos de 250 trabajadores, salvo cuando nos encontremos con las siguientes excepciones: 1) entrañe un riesgo para los derechos y libertades de los interesados; 2) son relativos a condenas e infracciones penales; 3) incluya categorías especiales de datos personales (origen étnico, opiniones políticas, convicciones religiosas, afiliación sindical, datos biométricos, datos relativos a la salud).
En lugar de establecerse por niveles determinados (alto-medio-bajo), el RGPD establece que esas medidas serán establecidas en función al riesgo detectado, para lo cual se exige un análisis de riesgo previo al tratamiento.
El registro de actividades de tratamiento o RAT, deberá incluir:
Uno de los pilares básicos que regulan tanto el RGPD como la LOPD son los derechos ARCO (acceso, rectificación, cancelación, oposición) y los nuevos derechos (limitación del tratamiento, portabilidad, y al olvido), derechos que pueden ejercitarse tanto directamente por el usuario como por medio de un representante legal. Por ello, en caso de que se solicite alguno de estos derechos, el responsable de tratamiento de datos deberá tener procedimientos para su satisfacción. Por tanto, es fundamental que todas las entidades que hagan uso de información personal, dispongan de protocolos de actuación para dar respuesta en el plazo legal estipulado a lo solicitado por el usuario.
Es obligatorio tener un plan de actuación en caso de incidencias de seguridad de mayor o menor grado con el objeto de afrontarlas de forma rápida y eficaz, minimizando las consecuencias. Para ello, el responsable debe documentarlas debidamente y tener un registro de incidencia, y hacer uso del plan de actuación. En definitiva, independiente del tamaño de la empresa y la complejidad de la brecha, se debe saber siempre cómo se va a proceder ante una brecha de seguridad.
Las fases para controlar una brecha de seguridad serían las siguientes:
1. Preparación: se decidirán las medidas técnicas y organizativas para poder afrontar un incidente. Esto incluye la identificación de los agentes implicados en la gestión de la brecha, el análisis de riesgos y/o evaluación de impacto en caso de que sean necesarias y la definición de los "planes de respuesta a incidentes" o "plan de contingencia".
2. Detección/Identificación: se deberá analizar la información que se obtenga de los sistemas de alerta (pueden provenir de fuentes internas o externas). En caso de brecha de seguridad, el responsable del tratamiento deberá notificar tanto a la Agencia Española de Protección de Datos en el plazo más breve posible (72 horas como máximo), además de notificar a los afectados (a las personas cuyos datos personales han sufrido un ataque para que tomen las medidas necesarias, como por ejemplo: cambiar contraseñas), salvo que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de estas personas.
3. Clasificación: se deberá establecer criterios de clasificación de la amenaza, como por ejemplo, el tipo de amenaza, el origen del mismo, los datos afectados, el perfil de usuarios afectados, número de afectados, el impacto del incidente, entre otros. Es fundamental también hacer una valoración de la peligrosidad de la brecha de seguridad y la estimación de la magnitud del incidente.
4. Proceso de respuesta y notificación: tiene como objetivo contener el incidente, erradicando la situación de brecha generada (por ejemplo, eliminando un malware o desactivando cuentas de usuarios vulneradas). Además, se debe restablecer la situación a la normalidad inicial, evitando en la medida de lo posible que sucedan nuevos incidentes.
5. Seguimiento y cierre: una vez las acciones derivadas de los procesos del plan de actuación han concluido, se procederá al cierre de la brecha de seguridad. No obstante, en algunas ocasiones previos a la conclusión, se deberá realizar un informe final sobre la brecha para conocer el impacto que ha tenido con el objeto de prevenir la reiteración del incidente.
Es fundamental adaptar y adecuar las páginas web a las exigencias del RGPD y la nueva LOPD. Por ello, es imprescindible que se disponga de las siguientes políticas legales de la web:
Además, en caso de que el usuario rellene un formulario de contacto o de suscripción, se debe contar con un consentimiento expreso para poder tratar sus datos. Este consentimiento debe ser libre, específico, inequívoco (no cabe la inacción o la omisión del usuario), informado (se debe explicar detalladamente para que se está pidiendo el consentimiento) y debe ser verificable (se deben mantener registros de consentimientos).
IMPORTANTE: las casillas premarcadas o la inacción del usuario al requerir datos personales no serán legales de cara al RGPD y la nueva LOPD.
Todas las personas deben tener total control sobre sus datos personales (son derechos personalísimos), por lo que todas las personas pueden dirigirse al responsable de los datos para ejercer los derechos que les reconoce la legislación vigente. A los anteriores derechos llamados ARCO (Acceso, Rectificación, Cancelación y Oposición), se han añadido tres más: el derecho a la limitación del tratamiento, el derecho a la portabilidad, y el derecho al olvido.
El plazo máximo para que el responsable de la entidad dé una respuesta por escrito, o verbalmente, es de 30 días desde la recepción de la solicitud. No obstante, en casos excepcionales se puede extender el tiempo de respuesta a otros dos meses más si la solicitud es compleja o si se ha recibido varias solicitudes individuales.
A continuación, analizaremos cada uno de esos derechos.
Una novedad de la LOPD es que una persona vinculada a un fallecido puede solicitar el acceso, rectificación, o supresión de los datos de la persona fallecida, salvo que ésta lo hubiese prohibido expresamente en vida.
Se trata del derecho de una persona a solicitar información al responsable sobre si sus datos personales están siendo tratados. En caso afirmativo, se podrá obtener la siguiente información: 1) la finalidad del tratamiento; 2) el origen de los datos; 3) los destinatarios a los que se comunicaron o serán comunicados los datos personales; 4) el plazo previsto de conservación; 5) la existencia del derecho del usuario a solicitar la rectificación o supresión de los datos; 6) el derecho a presentar una reclamación ante la Agencia Española de Protección de Datos; y 7) si se han transferidos sus datos personales a un tercer país.
Es el derecho que tiene toda persona a solicitar la modificación de datos que sean inexactos o incompletos. En este caso se debe indicar qué datos son los referidos y la corrección que hay que realizar, aportando documentación justificativa de la rectificación solicitada.
Cualquier usuario puede solicitar la supresión (la cancelación) de los datos que resulten inadecuados o excesivos, sin perjuicio del deber de bloqueo. Se debe indicar el dato a cancelar y el motivo, aportando documentación justificativa de la cancelación solicitada.
A través de este derecho, la persona afectada podrá oponerse al tratamiento de sus datos personales en los siguientes supuestos:
1) Cuando sean objeto de tratamiento basado en una misión de interés público o en el interés legítimo, incluido la elaboración de perfiles. No obstante, cuando el responsable acredite motivos imperiosos que prevalezcan sobre los derechos y libertades del interesado, podrá rechazar la solicitud.
2) Cuando el tratamiento tenga como finalidad la mercadotecnia directa.
En todo caso, la persona afectada deberá hacer constar los motivos fundados y legítimos, relativos a una concreta situación personal de la persona afectada, que justifiquen el ejercicio de este derecho.
Se trata de un nuevo derecho que ofrece al titular de datos personales la posibilidad de obtener la limitación del tratamiento de los datos siempre que se den una serie de circunstancias. Tiene dos vertientes:
1) Se puede solicitar la suspensión del tratamiento de los datos:
2) Se puede solicitar al responsable la conservación de los datos:
El derecho a la portabilidad es un nuevo derecho que tiene como objetivo reforzar más el control de los datos personales, de forma que cuando el tratamiento se efectúe por medios automatizados, el afectado puede solicitar que el responsable del tratamiento facilite los datos personales en un formato estructurado a otro responsable (por ejemplo: la traslación de la portabilidad en telefonía móvil).
Es el de derecho que tiene cualquier persona a que se suprima todo enlace que contenga información personal en internet, o las copias o réplicas de tales datos, siempre que concurran alguna de las siguientes circunstancias:
1) Si los datos personales ya no son necesarios en relación con los fines para los que fueron recogidos;
2) Si el tratamiento de los datos personales se ha basado en el consentimiento que se prestó al responsable, y se retira el mismo;
3) Si el interesado se opone al tratamiento con arreglo al derecho de oposición, por motivos particulares o por mercadotecnia, y no prevalezcan otros motivos legítimos para el tratamiento;
4) Si los datos personales han sido tratados ilícitamente;
5) Si los datos personales deben suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
Este derecho puede ser controvertido y puede dar lugar a enfrentamientos entre el derecho de la persona afectada a "desaparecer" de internet y el ejercicio de la libertad de expresión e información, o incluso para el cumplimiento de una obligación legal o por razones de interés público (ya sea por fines de investigación científica o histórica o fines estadísticos). Por tanto, no suele ser sencillo que un buscador elimine o desindexe un contenido que contenga datos personales del afectado.
La nueva Ley Orgánica de Protección de Datos ha introducido nuevos derechos para las personas afectadas como el de portabilidad o a la limitación del tratamiento. No obstante, el derecho que más controversia genera es el derecho al olvido en redes sociales y servicios de la sociedad de la información, puesto que en muchas ocasiones choca de frente con el derecho a la libertad de expresión y de información.
Además de otros casos, la nueva normativa obliga también a designar a un Delegado de Protección de Datos (y comunicarlo a la Agencia Española de Protección de Datos) a las organizaciones cuyas actividades principales consistan en tratamientos que requieran una observación habitual y sistemática de los ciudadanos a gran escala, o en el tratamiento a gran escala de categorías especiales de datos personales, o datos relativos a condenas e infracciones penales.
Por último, otra de las principales modificaciones es la desaparición de los ficheros, y la actual obligación de tener un Registro de actividades de tratamiento, que tiene como objetivo que el ciudadano pueda conocer de la manera más exacta posible qué se está realizando con sus datos de carácter personal. Esta obligación sólo será aplicable a entidades que tengan más de 250 empleados, salvo excepciones.