Continuamos analizando las principales novedades introducidas en el ámbito de la protección de datos por el nuevo Reglamento general de protección de datos.

Tras un primer post en el que hablamos principalmente de las novedades relacionadas con la definición de consentimiento, la ampliación de la obligación de información a los interesados y de los nuevos derechos que les asisten, en este segundo trataremos cuestiones como las novedades introducidas respecto de las obligaciones de carácter técnico u organizativo impuestas a responsables o encargados de tratamiento, o del régimen de las transferencias internacionales:

Obligaciones impuestas a responsables y encargados de tratamiento

El Reglamento establece genéricamente que el responsable debe implementar las medidas técnicas y organizativas que sean apropiadas con el fin de asegurar y ser capaz de demostrar que los tratamientos que realiza se ajustan a lo establecido en el Reglamento. En ese sentido, se establecen, a lo largo del Capítulo IV de la norma, ciertas obligaciones sobre los responsables de tratamiento, y en algunos casos también sobre los encargados:

1. Aprobación de políticas de protección de datos cuando sea proporcionado en relación con las actividades de tratamiento que realice el responsable.

2. Implementación de medidas de protección de datos por diseño y por defecto. Esto implica que desde el momento en que un productor de bienes, servicios o aplicaciones desarrolle, diseñe o determine los medios a través de los cuales se tratarán datos, así como en el mismo momento del tratamiento, debe tener en cuenta el derecho a la protección de datos y por tanto planificar e implementar, en relación a esos bienes o servicios, las medidas adecuadas.

3. El contenido obligatorio que debe tener el contrato entre responsable y encargado de tratamiento.

4. Responsables y encargados deben mantener un registro de actividades de tratamiento. Contendrá básicamente la misma información que se recogía en los ficheros de datos, si bien con algún añadido. Se exime de esta obligación a compañías u organizaciones que empleen menos de 250 trabajadores, salvo que concurran una serie de circunstancias.

5. Tanto responsable como encargado deben implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos existentes. El Reglamento establece una lista orientativa de medidas, como son:

  • la “pseudonymisation” y encriptación de datos personales;
  • la funcionalidad para garantizar de forma continuada la confidencialidad, integridad, disponibilidad y resistencia o capacidad de recuperación de los sistemas y servicios que tratan los datos;
  • la funcionalidad para restaurar la disponibilidad y acceso a los datos lo más pronto posible en caso de incidente físico o técnico;
  • un procedimiento para evaluar regularmente la efectividad de las medidas.

Las autoridades reconocen estar “ya trabajando en el desarrollo de herramientas que faciliten la identificación y valoración de riesgos y en recomendaciones sobre la aplicación de medidas”.

6. Notificación a la autoridad supervisora y, en su caso, al interesado, de una quiebra de la seguridad en un plazo máximo de 72 horas a menos que sea improbable que el incidente resulte en un riesgo para los derechos y libertades de los individuos.

7. Realización de una evaluación del impacto, previa al tratamiento, en los casos en que por el tipo de tratamiento, y en particular por el uso de nuevas tecnologías, este pueda resultar en un riesgo alto para los derechos y libertades de los individuos. El Reglamento establece una serie de casos en los que se requiere obligatoriamente la realización de la evaluación previa y, además, señala que las autoridades supervisoras emitirán un listado con los tipos de operaciones de procesamiento que están también sujetas a esta obligación.
En caso de que la evaluación indique que el tratamiento puede resultar en un riesgo alto en caso de ausencia de medidas tomadas por el responsable para mitigar el riesgo, el responsable debe realizar una consulta previa a la autoridad supervisora antes de iniciar el tratamiento.

8. Nombramiento de un delegado de protección de datos. Deben nombrarlo aquellos responsables y encargados de tratamiento cuyas actividades principales consistan, o bien en realizar operaciones de tratamiento que por su naturaleza, ámbito u objetivos requieren llevar a cabo un control a gran escala, regular y sistemático, de los sujetos titulares de los datos, o bien en tratar a gran escala datos especialmente protegidos o datos relacionados con la comisión de infracciones penales.
Sus tareas son descritas en el Reglamento y están relacionadas con el control y asesoramiento sobre la actividad de la empresa en materia de protección de datos.

El Reglamento recomienda la adhesión a códigos de conducta y la obtención de certificaciones que acrediten el cumplimiento de la normativa de protección de datos. Ambas figuras deben ser aprobadas a través de un proceso regulado en el propio Reglamento, y a lo largo del texto son mencionadas como forma de demostrar el cumplimiento de la normativa de protección de datos.

Como puede verse, la obligación general de notificación de la existencia de ficheros de datos personales a las autoridades supervisoras, hasta ahora existente, se suprime.

Transferencias internacionales. Autorización no necesaria en caso de cláusulas modelo o normas corporativas vinculantes

Según el artículo 46 tanto las transferencias basadas en las cláusulas modelo aprobadas por la Comisión, como las amparadas en normas corporativas vinculantes, no requerirán autorización expresa de la autoridad supervisora.

Por primera vez son reguladas las normas corporativas vinculantes. Se establecen sus contenidos obligatorios mínimos y el procedimiento de aprobación a través del nuevo “mecanismo de coherencia” (un procedimiento claramente simplificado frente al anterior).

Según el mismo artículo, incluso la adhesión a códigos de conducta o contar con certificación podrían permitir la transferencia sin necesidad de autorización según el mismo artículo.

Dado que el nuevo Reglamento sólo exime de la obligación de obtener autorización expresa, cabe que algunos Estados continúen manteniendo un régimen de notificación (como el establecido en España por el artículo 66.3 del Reglamento de desarrollo de la LOPD). Debemos esperar a ver la aplicación práctica de este precepto.

Otras novedades

1. La solución a los conflictos de leyes nacionales que proveía el artículo 4 de la Directiva no se recoge en el Reglamento, lo que es lógico dada la naturaleza de la norma. Sin embargo, sí permite a los Estados Miembros regular en el ámbito nacional aspectos específicos en relación con determinados temas, entre los que cobra especial importancia el tratamiento de datos personales de los trabajadores en el ámbito laboral.

2. Datos genéticos y biométricos son considerados datos especialmente protegidos.

2. Se regulan las figuras de autoridad de control principal y autoridades interesadas, así como los principios y mecanismos de interacción, para el caso de que el responsable o encargado realice un tratamiento transfronterizo de datos.

3. Se crea el Comité Europeo de Protección de Datos, que sustituirá al Grupo del Artículo 29 y que tiene asignado un conjunto de tareas destinado a que la aplicación del Reglamento sea uniforme.

4. El derecho de los interesados a acudir a los tribunales y ser indemnizados ante una violación de la normativa de protección de datos es ampliado por el Reglamento. Ahora podrán ejercitarse tanto contra los responsables de tratamiento como contra los encargados, y no solo podrá actuar en juicio el particular interesado sino también organizaciones o asociaciones.

5. Se produce un considerable incremento de sanciones respecto del régimen actualmente vigente y también respecto de los primeros borradores del Reglamento. La determinación de la sanción queda a discreción de las autoridades nacionales que deben, eso sí, tener en cuenta los criterios establecidos en el Reglamento.

Conclusiones

En primer lugar, el Reglamento respeta el principio, tan alabado en la Directiva, de neutralidad tecnológica.

En segundo lugar, aunque en la eliminación de la obligación de notificar la existencia de ficheros de datos o de recabar autorización expresa para llevar a cabo determinadas transferencias internacionales, se muestra la pretensión de reducir la carga administrativa que pesa sobre la empresas, no deja de ser cierto que las obligaciones impuestas pueden suponer para muchas de ellas una importante carga financiera. En ese sentido, se agradecen las excepciones realizadas en relación con las de tamaño pequeño o mediano.

Y por último, a pesar de que la incorporación de las normas corporativas vinculantes y su mecanismo de aprobación es un gran avance, es posible que se haya perdido una gran oportunidad para permitir la extensión de la aplicación de dichas normas a empresas encargadas de tratamiento u otras empresas colaboradoras del grupo de empresas en cuyo seno obligan, tal y como venían demandando algunas organizaciones. De esa manera se hubiera simplificado aún más, y de manera probablemente determinante, el régimen a aplicar a las transferencias internacionales.

Please follow and like us: