Novedades del Reglamento de protección de datos de carácter personal

Sin comentarios junio 14, 2018

El nuevo Reglamento Europeo de Protección de Datos ha entrado en vigor el 25 de mayo de 2018, e introduce una serie de novedades que hay que tomar en consideración. Introduce en el ordenamiento jurídico español la figura del Delegado de Protección de Datos, en inglés DPO (Data Protection Officer) que será el responsable del tratamiento de los ficheros en los que los datos se almacenan. Así pues, con la aprobación del Proyecto de Ley Orgánica de Protección de Datos se adaptará nuestro Ordenamiento Jurídico interno a las disposiciones del Reglamento UE 2016/679, introduciendo novedades y mejoras en la regulación del tratamiento de datos de carácter personal que, en el caso de España, la protección de datos es un derecho fundamental protegido por el artículo 18.4 de la Constitución española. En el Reglamento se recogen multitud de novedades tanto en el régimen de consentimiento como en el tratamiento de dichos datos.

Uno de los principales objetivos de esta nueva legislación es acabar con la fragmentación que existe en las distintas normativas de los países comunitarios. Por un lado se endurecen las medidas de protección, no siendo suficiente medida el establecer una política de cookies en nuestra página web y un aviso de privacidad, sino que se vuelve totalmente necesario ser proactivos en la seguridad de nuestros archivos. Igualmente, deberán registrarse todas y cada una de las acciones tendentes a la protección de datos, al objeto de justificar, si llega el momento, esta proactividad de la que hablamos.

Novedades más importantes:

  • Adelanta a los 13 años la edad de consentimiento para el tratamiento de datos.
  • Tiene que haber consentimiento expreso de uso de los datos de tipo personal. Se excluye la figura del consentimiento tácito que se sustituye por una acción afirmativa y expresa por parte del afectado. Fuera quedan aquellos consentimientos implícitos en web o en formularios genéricos.
  • Se recoge manifiestamente el deber de confidencialidad.
  • En cuanto al tratamiento de datos, incorpora el principio de transparencia en lo que se refiere al derecho de los afectados a ser informados en todo momento sobre dicho tratamiento contemplando, de forma expresa, los derechos de acceso, rectificación, supresión, derecho a la limitación del tratamiento, así como a la portabilidad y oposición
  • Derecho al olvido, se configura como aquel que consiste en que desaparezcan de la base de datos aquellos innecesarios por el paso del tiempo, en consonancia con la Sentencia del Tribunal Supremo de 15 de octubre de 2015 y la Sentencia del Tribunal de Justicia de la Unión Europea de julio de 2014. En estos casos el derecho a la intimidad o al honor es prevalente sobre el derecho a la libertad de expresión.
  • Se tendrá en cuenta el tratamiento de datos que pertenezcan a personas que estén fallecidas en relación a una posible solicitud de sus herederos.
  • Si hay errores en los datos personales obtenidos de manera directa, se excluye también la imputabilidad del responsable de su tratamiento siempre que se hayan tomado todas las medidas para su rectificación.
  • Se mantiene la prohibición de guardar información sensible o datos de especial protección, como por ejemplo todos los relacionados con ideología, religión, afiliación sindical, orientación sexual, origen racial o étnico. En estas categorías, el mero consentimiento del interesado no basta para dar validez al tratamiento de sus datos. 
  • Con la era digital, los riesgos de que los datos personales de las personas circulen por Internet sin control han aumentado considerablemente, siendo en ocasiones falseados. Las empresas deberán proteger todos los datos de sus clientes y en ningún momento compartirlos sin su consentimiento. Para ello, deberán utilizar un cifrado fuerte para su protección, dejando de utilizar cifrados obsoletos. El objetivo será el de garantizar de forma jurídica la protección privilegiada de todos los datos personales.
  • Introduce además algunos  puntos en los que se establece la presunción de la prevalencia del interés legítimo del responsable del tratamiento de los datos en determinados supuestos, como son los que regulan situaciones en las que se aprecia la existencia de un interés público, como la videovigilancia en la vía pública y sistemas de exclusión publicitaria (listas Robinson), la función estadística pública y las denuncias internas en el sector privado.

Delegado de protección de datos

La nueva legislación incorpora una serie de novedades como la aparición de la figura del Delegado de Protección de Datos, DPO en inglés. El DPO se va a convertir en la máxima autoridad de las empresas en materia de protección de datos obligando a muchas empresas a requerir los servicios de un DPO para dar cumplimiento a las nuevas exigencias normativas en materia de Protección de Datos. El delegado de protección de datos es una persona física o jurídica cuya designación ha de comunicarse a la autoridad competente, que mantendrá relación con la Agencia Española de Protección de Datos (AEPD).

Procedimientos de autorregulación

En relación con el procedimiento, el Reglamento promueve la existencia de mecanismos de autorregulación tanto en el sector público como en el privado e introduce la obligación de bloqueo que garantiza que los datos queden a disposición de un Tribunal, del Ministerio Fiscal o de otras autoridades competentes (como la AEPD) en orden de salvaguardar posibles responsabilidades derivadas de su tratamiento, evitando así que se puedan borrar datos para encubrir el incumplimiento.

Ámbito competencial

El Nuevo Reglamento Europeo de Protección de Datos es de aplicación directa en todo el territorio de la Unión Europea, y afecta a todas las empresas que traten datos de personas físicas ubicadas en este territorio con independencia del domicilio o sede de la empresa. Por tanto, quedan obligadas por este Reglamento las personas físicas y jurídicas que utilicen datos obtenidos por interés lícito y legítimo en su actividad empresarial o profesional.

El reglamento protege a las personas físicas, no a las jurídicas, como ya se han pronunciado algunas resoluciones judiciales, así  como tampoco incluye a las personas físicas fallecidas.

Régimen sancionador

El Reglamento recoge un régimen sancionador de tipo administrativo por infracciones que pueden acarrear sanción de hasta 4 por ciento de la facturación de la empresa o hasta 20 millones de euros.

La responsabilidad de la empresa comprende igualmente aquella de ámbito civil por los daños y perjuicios causados a los particulares debido a la utilización ilegítima de datos de tipo personal.

Frecuentes son los casos que nos llegan a nuestro despacho por la cesión de los  datos de usuarios a ficheros de impagados o su inclusión cuando la reclamación de la deuda no está justificada, casos que ocurre con las compañías de suministros como telefonía, luz, etc., y que son algunos de los ejemplos que su pueden dar en la práctica y que infringen maliciosamente la legalidad vigente en la materia atentando a derechos tan susceptibles de protección como son los llamados Derechos Fundamentales. En estos casos, hemos conseguido altas tasas de éxito en la resolución del conflicto de nuestros clientes con la correspondiente indemnización que por ley les corresponde.

Si estás en alguno de estos casos, ponte en contacto con nuestro despacho de Abogados ya mismo!!

 


Sin comentarios