TODO LO QUE DEBE SABER ACERCA DEL NUEVO REGLAMENTO GENERAL SOBRE PROTECCIÓN DE DATOS DE CARÁCTER

PERSONAL (R.G.P.D.)

Frédéric Dechamps & Chloë De Clercq Abogados - Lex4u

INTRODUCCIÓN

Para una empresa, tratar datos de carácter personal es una necesidad. De hecho, el tratamiento de datos le permite, por un lado, asegurarse de que su empresa cumple con sus obligaciones contractuales de cara a sus clientes (por ejemplo, llevar a cabo la gestión y realizar el seguimiento de pedidos y facturas), y por otro, mejorar sus servicios o productos, además de idear estrategias de desarrollo y fortalecer su situación en el mercado.

En esta área se está produciendo en la actualidad una evolución legislativa importante, que se refleja concretamente en la adopción del nuevo reglamento europeo sobre protección de datos personales.

Este reglamento general sobre protección de datos personales (en adelante, el “RGPD”) persigue dos objetivos principales: • por una parte, reforzar la protección de los derechos y libertades de las personas cuyos datos se están

tratando;

• de otra, armonizar la actividad y facilitar una mejor circulación de datos dentro de la Unión Europea.

El RGPD será obligatorio y aplicable directamente en los Estados miembros de la Unión con fecha 25 de mayo de 2018. Hasta entonces, las autoridades y empresas implicadas deberán tomar todas las medidas necesarias para adaptarse para cumplir los nuevos requisitos legales.

1. ¿QUÉ ES?

Un “dato de carácter personal” es toda información a partir de la cual una persona física puede ser identificada (o identificable), directa o indirectamente. Se trata de uno o varios elementos específicos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de una persona, como por ejemplo, un nombre de usuario de una web, un apellido, una dirección postal, una dirección de correo electrónico, un número de teléfono, etc.

Existe igualmente lo que llamamos “datos sensibles”, término que designa los datos que revelan, por ejemplo, opiniones políticas, convicciones religiosas y filosóficas, origen racial o étnico, pertenencia a un sindicato, vida sexual u orientación sexual, historial médico o incluso datos biométricos (huellas digitales o fotografías). Estará llevando a cabo un “tratamiento de datos” cuando realice con datos personales una o varias de las siguientes operaciones (independientemente de la técnica utilizada): recogida, almacenamiento, organización, estructuración, conservación y adaptación, así como modificación, extracción, consulta, uso, comunicación, intercambio, minimización o incluso supresión.

1.1. ¿QUÉ ES UN “TRATAMIENTO” DE “DATOS DE CARÁCTER PERSONAL”?

El “responsable de tratar los datos” es la persona encargada de fijar – en solitario o junto a otros – los fines (es decir, los objetivos perseguidos) y los medios elegidos para el tratamiento de los datos (es decir, los métodos de recogida y tratamiento.

Puede tratarse de una persona física (p.ej. un médico), de una persona jurídica (p.ej. una empresa), de una asociación (p.ej. una OSAL) o incluso de una administración pública (p.ej. un municipio.

La existencia de uno – o varios – responsables en este sentido es fundamental; como “responsables del tratamiento de los datos”, estarán sujetos a la normativa en materia de protección de datos. ¡Por lo tanto, el nuevo reglamento general sobre protección de datos le afecta directamente a usted!

1.2. ¿QUIÉN ES EL “RESPONSABLE” DE TRATAR LOS DATOS?

1.3. ¿SE PUEDE RECOGER Y TRATAR LIBREMENTE DATOS DE CARÁCTER PERSONAL?

De hecho, para adecuarse a la normativa, un tratamiento de datos de carácter personal debe cumplir determinadas condiciones estrictas. Así, los datos de carácter personal deberán: • tratarse de manera lícita, leal y transparente;

• recogerse para fines determinados, legítimos y explícitos;

• ser adecuados, pertinentes y necesarios en función de los fines que se persigan;

• ser exactos, y cuando así proceda, estar actualizados;

• conservarse en un formato que permita identificar al interesado durante un tiempo limitado, o bien únicamente mientras sea necesario para alcanzar el objetivo del tratamiento. De esta forma, una empresa puede conservar los datos de sus clientes mientras que dure el contrato que los vincula, a

LA RESPUESTA ES, OBVIAMENTE, NO.

condición en cualquier caso de que conservarlos se realmente necesario para cumplir el contrato. El plazo de conservación debe ser razonable a la vista de los objetivos perseguidos, en función de las circunstancias y de la naturaleza de los datos. Habrá que examinar cada caso individualmente. Por ejemplo, los datos de contacto de un cliente potencial que no responda a ningún mensaje durante tres años deben suprimirse. Otro ejemplo: no podrán conservarse más allá de un año las imágenes captadas por un dispositivo de videovigilancia.

• recogerse y tratarse de manera tal que se garantice su seguridad.

Por otra parte, el tratamiento de “datos sensibles” está en principio prohibido. En todo caso, queda sustancialmente limitado por la ley. De hecho, estos datos requieren una protección particular por los graves riesgos que entrañan para los derechos y libertades fundamentales de las personas afectadas. Por esta razón, estos datos sólo pueden tratarse en los casos hipotéticos que la ley enumera (por ejemplo, cuando el interesado haya otorgado su consentimiento explícito al tratamiento de esta clase de datos, o si el tratamiento de los mismos es necesario para cumplir una obligación derivado del derecho laboral o de la seguridad social). Por lo tanto, en el caso de datos sensibles es necesario actuar con cautela.

2. REFUERZO DE LOS DERECHOS Y LIBERTADES DE LAS PERSONAS CUYOS

DATOS SE TRATAN

Obviamente, el RGPD se aplica a las empresas “responsables del tratamiento” con sede en el territorio de la Unión Europea.

El RGPD amplía la aplicación territorial de la normativa, dado que, en el futuro, afectará también a las empresas no establecidas en la U.E. que ofrezcan bienes o servicios a personas instaladas en la Unión Europea. Por ejemplo, un responsable de tratamiento australiano que venda accesorios de moda a personas afincadas en Bélgica tendrá que cumplir la legislación en materia de protección de datos personales. Lo mismo sucede con las empresas no establecidas en la Unión Europea cuyas actividades están vinculadas a la vigilancia de comportamientos humanos que operen dentro de la Unión (normalmente de clientes europeos). Así, una empresa de márketing india que cree y gestione perfiles de clientes belgas con el fin de analizar el mercado belga estará igualmente sujeta al RGPD. Como ya se habrán figurado, el RGPD se aplica al tratamiento de datos personales de todo individuo instalado en la Unión Europea, sin importar lugar de residencia habitual, nacionalidad o ciudadanía.

El hecho de que el tratamiento de datos de carácter personal tenga lugar en la Unión Europea o no, en principio no afecta a la aplicación territorial del RGPD.

2.1. EL RGPD SE APLICA IGUALMENTE A DETERMINADAS EMPRESAS ESTABLECIDAS FUERA DEL TERRITORIO DE LA UNIÓN EUROPEA

El RGPD fortalece el principio de transparencia y el deber de información de cara a las personas cuyos datos se recogen y tratan.

Como responsable del tratamiento, usted tiene obligatoriamente que transmitir a estas personas información clara, precisa, inteligible y accesible, relativa sobre todo a las modalidades y fines del tratamiento, así como a sus derechos y posibilidades de recurso.

Deberá usted cuidar por tanto de que toda esta información esté reflejada en su Política de privacidad, a la que, por otra parte, se debe poder acceder fácilmente en todo momento. Para terminar, cualquier persona debe poder contactarle, de manera eficaz, para aclarar cualquier cuestión o realizar una reclamación (por correo postal o por email). Esta obligación queda establecida por ley.

Tomemos por ejemplo el caso de una campaña estilo juego-concurso que usted organice desde su página de Facebook o en un minisitio. Generalmente se invita a los futuros participantes a registrarse en línea o a rellenar un formulario de participación con datos de carácter personal que usted más tarde recogerá y tratará. En este contexto, está usted tratando datos de carácter personal, y por lo tanto, desde ese momento tiene que respetar el RGPD, por lo que deberá:

1. introducir una cláusula de “protección de datos personales y vida privada” en el reglamento del juego- concurso, accesible con facilidad (específicamente en su página de Facebook o en el sitio web);

2. proveerse de una Política de privacidad, que igualmente debe ser cómodamente accesible en todo momento.

2.2. LA OBLIGACIÓN DE INFORMAR SE REFUERZA CONSIDERABLEMENTE

Cuando el tratamiento se base en el consentimiento de la persona, esta deberá haberlo dado mediante un acto afirmativo claro y explícito. En el futuro, la persona interesada deberá manifestar su acuerdo al tratamiento de los datos que la conciernen de manera libre, específica, fundada y unívoca, además de dar su consentimiento de forma activa. A partir de ese momento no será ya posible obtener el consentimiento de la persona haciendo que marque previamente la casilla de una opción en un sitio web o incluso por omisión. La persona, por ejemplo, tendrá que marcar una casilla al visitar su sitio web o realizar una declaración en la que indique claramente que acepta un tratamiento determinado.

Esto quiere decir que ya no se admite la aceptación implícita o pasiva, aunque se detalle. En otras palabras: si la persona no dice “sí”, se entenderá que “no”.

Por último, la persona debe poder retirar su consentimiento en todo momento y tan fácilmente que lo haya dado. Sin embargo, pierda cuidado, porque dicha retirada no afectará en modo alguno a la licitud del tratamiento basado en el consentimiento otorgado previamente. Es decir, que el consentimiento se retira con efecto futuro.

Como responsable del tratamiento, deberá poder demostrar en todo momento que la persona a la que conciernen los datos de carácter personal ha dado su consentimiento para ello. En dicha prueba de consentimiento deberán aparecer tres datos: la identidad de la persona que lo ha dado, el momento en que lo ha hecho y, para terminar, el objeto del consentimiento (a qué se ha avenido la persona).

2.3. ¡CAMBIOS RELATIVOS AL CONSENTIMIENTO!

Toda persona cuyos datos sean tratados posee los siguientes derechos 1. Derecho de acceso: la persona tiene derecho a recibir una copia para ella comprensible, de sus datos recogidos y tratados

2. Derecho de rectificación: la persona puede, sin coste alguno para ella, solicitar que se rectifiquen datos que sean inexactos, incompletos o irrelevantes.

3. Derecho de oposición: la persona tiene derecho a oponerse a que se traten datos que la conciernan, y esto por motivos serios y legítimos. Este derecho de oposición no podrá ejercerse si el tratamiento de los datos es necesario para concluir o ejecutar un contrato. Pero cuidado, porque la persona puede oponerse al tratamiento de sus datos personales sin ninguna justificación cuando los datos se recojan para utilizarse en acciones de márketing directo (es decir, con fines publicitarios).

Asimismo, el interesado tendrá “derecho al borrado” (o “derecho al olvido”), o sea, derecho a que se borren sus datos de carácter personal, en ciertos supuestos enumerados por la ley. Así, el interesado tiene derecho a que el responsable del tratamiento borre sus datos lo antes posible en los siguientes casos:

2.4. SE MEJORAN LOS DERECHOS DE LAS PERSONAS AFECTADAS

• Los datos ya no son necesarios para alcanzar los fines por los que fueron recogidos o tratados de otra manera:

• El interesado ha retirado su consentimiento sobre el que el tratamiento se basaba, y no existe otro fundamento jurídico para el mismo;

• El interesado ejerce su derecho de oposición y no existe motivo imperioso legítimo que justifique el tratamiento, o bien la persona se opone específicamente al tratamiento de sus datos con fines de márketing directo;

• Los datos personales se han tratado de forma ilícito;

• Los datos tienen que borrarse conforme a una obligación legal derivada del derecho del estado miembro al que el responsable está sujeto o del derecho de la Unión Europea.

De cualquier manera, el derecho de borrado no es absoluto. Lo cierto es que el RGPD prevé una serie de casos en los cuales el borrado no se aplica. El tratamiento de datos podrá, por ejemplo, continuar realizándose cuando sea necesario para el ejercicio de la libertad de expresión y de información, o para constatar, ejercer o defender derechos ante los tribunales.

Cabe destacar que el RGPD instaura un derecho nuevo, el de la “portabilidad de los datos”. Este último implica el derecho para toda persona interesada de obtener, del responsable del tratamiento, una copia de sus datos personales tratados y, llegado el caso, que dicho responsable los transfiera a un tercero.

Para ejercer estos derechos, el interesado debe dirigir su solicitud al responsable del tratamiento adjuntando prueba de su identidad (por ejemplo, enviando una copia de su carné de identidad o de su pasaporte).

3. EL NÚCLEO DEL RGPD ES EL PRINCIPIO DE RESPONSABILIDAD

3.1. LAS RESPONSABILIDADES SE REFUERZAN Y SE REPARTEN ENTRE EL RESPONSABLE DEL TRATAMIENTO Y EL O LOS SUBCONTRATISTAS

El principio fundamental es que la mayoría de las responsabilidades y obligaciones residen siempre en el responsable del tratamiento, quien debe poder demostrar – en todo momento – que está respetando debidamente la legislación, por ejemplo, mostrando las medidas técnicas y organizativas que ha tomado para garantizar la seguridad de los datos. El RGPD instaura normas que rigen el reparto de responsabilidades entre el responsable del tratamiento y su(s) subcontratista(s).

Efectivamente, cabe resaltar que el responsable del tratamiento no tiene necesariamente que realizar él mismo el tratamiento de los datos de carácter personal. El responsable del tratamiento puede, de hecho, acudir a un subcontratista, que – por encargo suyo – lleve a cabo concretamente ese tratamiento.

El subcontratista es, por consiguiente, la persona física o jurídica, entidad pública, servicio o cualquier otro organismo que trate datos de carácter personal por cuenta del responsable del tratamiento. El subcontratista deberá actuar siempre de acuerdo con las instrucciones dadas por el responsable de tratamiento.

Este es el caso, por ejemplo, de Qualifio, que recopila datos de carácter personal por encargo de sus clientes. Por esta razón, el RGPD prevé la obligación para el responsable de tratamiento y su subcontratista de regular contractualmente, por escrito, las modalidades de ejecución y de organización del tratamiento de los datos confiados a este último.

En este contrato debe detallarse obligatoriamente determinada información (finalidad, categoría en la que se inscriben los datos y duración del tratamiento, funciones y deberes del subcontratista para con el responsable, etc.).

En todo caso, el subcontratista deberá cumplir ciertas obligaciones legales, como garantizar la confidencialidad de los datos que reciba del responsable. Tampoco puede en principio hacer copias de esos datos. Además, deberá prever la aplicación de medidas técnicas y administrativas apropiadas para protegerlos.

Por consiguiente, el RGPD prevé que el subcontratista incurra en responsabilidades en caso de incumplir el RGPD o de no actuar conforme a las instrucciones (en los términos dispuestos por la ley) recibidas del responsable del tratamiento.

En razón de su carga administrativa excesivamente elevada, la notificación previa a la Comisión para la protección de la vida privada está llamada a desaparecer, a favor de una nueva obligación para el director de determinadas empresas: la de mantener un registro de las actividades de tratamiento de datos emprendidas por la empresa. Esta obligación no afecta a las empresas con menos de 250 trabajadores. Pero cuidado: la ley prevé casos en los cuales esta obligación sí se les aplica, por ejemplo, en los casos en que trate datos sensibles. En ese registro debe aparecer cierta información detallada relativa al tratamiento (categorías en que se dividen los datos recogidos y tratados, método de recogida, fines del tratamiento, personas a las que concierne, descripción de las medidas de seguridad tomadas, lugar del tratamiento, etc.). En la práctica, el registro debe presentarse por escrito (lo que abarca el formato electrónico) o en otro formato que no sea legible que pueda convertirse a uno legible.

3.2. DESAPARECE LA NOTIFICACIÓN PREVIA A LA ENTIDAD SUPERVISORA, QUE SE SUSTITUYE POR UN REGISTRO

Bajo determinadas circunstancias deberá designarse dentro de la empresa a un delegado de protección de datos. Puede ser interno o externo al organismo que le designe. Este delegado se encargará principalmente de: • velar por que la empresa respete la normativa;

• aconsejar e informar a la empresa (y a sus empleados) y posibles subcontratistas;

• ser el punto de contacto con la entidad supervisora (por ejemplo, la Comisión belga de la vida privada).

El delegado deberá disponer de la cualificación profesional adecuada y de conocimientos técnicos en el ámbito jurídico, así como de experiencia en el campo de protección de datos. Asimismo deberá ejercer sus funciones y llevar a cabo su tarea con total independencia, ya sea empleado o no del responsable de mantenimiento.

Será obligatorio nombrar a un delegado cuando la actividad básica del responsable de tratamiento consista en tratamientos que, por su naturaleza, alcance o finalidad, exijan un seguimiento regular y sistemático de las personas cuyos datos estén siendo recogidos y tratados.

Fuera de los casos de designación obligatoria, el responsable de tratamiento dispone de la facultar de designar un delegado de protección de datos (que puede ser interno o externo a la empresa).

3.3. APARECE UNA FIGURA NUEVA: EL DELEGADO DE PROTECCIÓN DE DATOS (DATA PROTECTION OFFICER O DPO)

De ahora en adelante, el principio de la “ventanilla única” implica que estará en contacto con la entidad supervisora de la protección de datos del Estado miembro donde se encuentre su “establecimiento principal”, que será donde se ubique su sede central en la Unión, o el establecimiento en el que se tomen las decisiones relativas a la finalidad y modalidades del tratamiento.

De esta manera tendrá la ventaja de contar con un interlocutor único en materia de protección de datos personales en la Unión Europea, lo que resulta particularmente útil cuando el tratamiento de datos es transnacional.

3.4. LA VENTANILLA ÚNICA

El RGPD refuerza el principio de protección de los datos. Los datos de carácter personal deberán tratarse de forma que su seguridad y confidencialidad queden garantizadas. Por esa razón deberá usted tomar todas las medidas técnicas y organizativas razonables para asegurar dicha protección, con el fin de evitar a toda costa las fugas, la divulgación o los robos de datos.

En los casos en que un tratamiento sea susceptible de generar un riesgo elevado para los derechos y libertades de los interesados, deberá usted realizar con antelación un análisis de las repercusiones globales, con el fin de evaluar y medir los riesgos vinculados a la seguridad de los datos. El objetivo del análisis es evaluar la naturaleza, alcance, contexto y gravedad de los riesgos para los derechos y libertades de los interesados para seguidamente prever medidas concretas para reducir y atenuar dichos riesgos.Según el RGPD, el análisis de las repercusiones es una obligación sobre todo en tratamientos a gran escala de datos sensibles o en caso de vigilancia sistemática a gran escala de una zona accesible al público. Las entidades supervisoras, por otra parte, establecerán y publicarán una lista con los tipos de mecanismos de tratamiento para los que se exige un análisis de impacto.

3.5. ¡CUIDE DE QUE SUS DATOS ESTÉN PROTEGIDOS!

A partir de ahora, el RGPD impone a todo responsable del tratamiento notificar a la entidad supervisora nacional las brechas de seguridad, es decir, cualquier violación contra la seguridad de los datos de carácter personal (robo, fuga, acceso o divulgación no autorizada, destrucción, etc.)

En caso de brechas de seguridad que puedan conllevar riesgos para los derechos y libertades de las personas a quienes afecte la violación de la seguridad de los datos, el responsable de tratamiento deberá notificarlas al organismo supervisor nacional en el plazo más corto posible y, en cualquier caso, en un plazo inferior a 72 horas a partir del momento en que tenga conocimiento de ellas. Esta gestión consiste principalmente en indicar en la notificación cuántos y qué datos se han visto afectados y cuáles son las consecuencias que puede tener la violación de seguridad para los interesados. El responsable del tratamiento deberá indicar asimismo las medidas que ha tomado, antes y después del incidente. En la práctica, para el responsable de mantenimiento, determinar la presencia o ausencia de riesgos para los derechos y libertades de los interesados supone una labor delicada.

3.6. OBLIGACIÓN DE NOTIFICAR LAS BRECHAS DE SEGURIDAD A LA ENTIDAD SUPERVISORA EN UN PLAZO DE 72 HORAS

Las empresas que no cumplan la nueva normativa pueden recibir por parte de la entidad supervisora multas importantes, que pueden ascender hasta 20 millones de euros o al 4% de su volumen de negocio mundial.

3.7. SANCIONES MÁS DURAS

El RGPD prevé igualmente la posibilidad para los responsables del tratamiento de adoptar códigos de conducta aprobados o de obtener certificaciones cuyas recomendaciones se harán públicas para que las empresas puedan adherirse o presentar la documentación pertinente.

3.8. APARICIÓN DE CÓDIGOS DE CONDUCTA Y CERTIFICACIONES

EN CONCLUSIÓN: ¡CUMPLA CON LO QUE EXIGE LA LEY!

En conclusión, si usted recoge o trata datos según lo dispuesto en la normativa, asegúrese de llevar a cabo – lo más rápidamente posible – una evaluación de su política de datos de carácter personal.

Podrá así tomar las medidas necesarias para cumplir las nuevas exigencias del reglamento europeo sobre protección de datos y evitar multas importantes

EN CONCLUSIÓN: ¡CUMPLA CON LO QUE EXIGE LA LEY!

¿CREES QUE EL PROYECTO DE COMPLIMIENTO DE LA GDPR ESTARÁ FINALIZADO EN MAYO DE 2018?

Probablemente no

Fuente : KPMG (2017), Enquête - General Data Protection Regulation.

47%

No 6%

Probablemente 42%

Sí 5%

AYÚDESE A SALIR AIROSO EN ESTA NUEVA ETAPA RODEÁNDOSE DE EXPERTOS

Frédéric Dechamps y Chloé de Clercq siguen muy de cerca el establecimiento del RGPD. Ambos forman parte del bufete de abogados “Lex4u” y están a su disposición para llevar a cabo auditorías jurídicas, redactar políticas de privacidad, contratos de subcontratación, cláusulas contractuales y procedimientos interno, asesorarle en su estrategia, etc.

Imparten asimismo cursos en los que forman especialistas para el puesto de Data Privacy Officer.

Frédéric Dechamps y Chloë De Clercq, miembros del Colegio de Abogados de Bruselasfd@lex4u.com

Qualifio es la plataforma de referencia para generar engagement y recopilar datos. Qualifio permite a los publishers, marcas y agencias crear y publicar fácilmente interacciones en sitios web, aplicacionesmóviles y redes sociales. Quizzes, encuestas, tests y otros innovadores formatos hacen que enganchen, crezcan, moneticen y califiquen sus audiencias digitales.

Qualifio permite a los equipos de marketing, CRM y ventas publicar un amplio portafolio de contenidos interactivos, en tiempo récord y a un coste reducido sin conocimiento técnico ninguno. Qualifio está diseñado para ser una parte íntegra de la estrategia de datos de nuestros clientes. Se integra fácilmente con otras herramientas de marketing como CRM, CMS, Single-Sign-On (sistema de usuario único), plataformas de emailing, Analytics, DMP hasta con pasarelas de pago.

Qualifio es perfectamente apto para publishers y marcas con múltiples canales y usuarios. Junto a un back-office online para la creación y gestión de campañas, Qualifio ofrece un servicio de soporte muy responsivo, formación y talleres con mejores prácticas, como también su servicio “Qualifio Studio” que ofrece el diseño y la activación de campañas para sus clientes.

www.qualifio.com