Nuevos derechos y obligaciones del Reglamento Europeo de Protección de Datos Personales

Un clic es suficiente para integrarnos en un complejo mundo de relaciones jurídicas cuya repercusión muchas veces ignoramos, especialmente cuando nos referimos a datos personales.
Beatriz Sanjurjo, doctora en Derecho, profesora universitaria, escritora y académica correspondiente de la Real Academia de Jurisprudencia y LegislacBeatriz Sanjurjo, doctora en Derecho, profesora universitaria, escritora y académica correspondiente de la Real Academia de Jurisprudencia y Legislación.

Beatriz Sanjurjo, doctora cum laude en Derecho, académica correspondiente de la Real Academia de Jurisprudencia y Legislación, profesora universitaria y escritora

 

En el mundo digital en el que vivimos es casi imposible imaginarnos sin estar conectados. Somos superusuarios y, sin embargo, muchas veces no somos conscientes del gran número de datos personales que cedemos a diario de forma gratuita cuando dejamos nuestra huella digital.

Esa ingente cantidad de datos que circula por la red a un ritmo viral se ha convertido en uno de los elementos más rentables para empresas y prestadores de servicios en Internet o Apps. Los datos son los nuevos diamantes digitales, pero normalmente no valoramos lo suficiente nuestra privacidad y facilitamos información en exceso.

La protección de datos de carácter personal se ha convertido en una de las prioridades del contexto tecnológico y jurídico internacional. Con el Reglamento Europeo 2016/679 del Parlamento y del Consejo, de 27 de abril de 2016 (DOCE 4/5/2016), que tres años después de su aprobación se convierte el 25 de mayo de 2018 en plenamente aplicable, se sustituye la anterior Directiva de Protección de Datos, 95746/CE, y sin derogar la normativa española al respecto (Ley Orgánica 15/1999, y el RD 1720/2007), en aquellos mandatos que discrepen se impondrá la norma europea.

La nueva regulación nos afecta a todos, implementa nuevos derechos y crea obligaciones a empresas, profesionales y encargados del tratamiento con sede en la UE, así como a aquellos que tengan su domicilio fuera de la UE cuando traten datos de ciudadanos europeos. Imponiendo grandes multas en caso de incumplimiento.

Conforme al dictado del Reglamento los datos podrán recabarse exclusivamente para fines explícitos y legítimos, y sólo utilizarse para el uso para el que se recogieron, que ha de ser siempre transparente y lícito.

La transparencia exige recibir la información necesaria para saber a qué se presta consentimiento. La licitud, que el consentimiento del interesado sea libre, informado, específico, inequívoco y ratificado mediante una acción positiva de conformidad. De tal manera, que el silencio o las casillas marcadas previamente no serán suficiente para entender que se ha producido un consentimiento válido cuando hablamos de datos personales. Un consentimiento que siempre es revocable.

Si nos referimos a menores, es necesario obtener el consentimiento de sus responsables legales, si bien, el Reglamento establece una franja entre 13 y 16 años para que cada Estado concrete una edad, que España ha fijado en 14 años, como edad a partir de la cual el menor podrá facilitar libremente sus datos -por ejemplo, en Redes Sociales- sin precisar para ello el consentimiento de sus padres o tutores.

La información de sus derechos a los ciudadanos por parte de quien recaba su consentimiento para tratarlos ha de producirse mediante un lenguaje sencillo, claro y comprensible, y estará incluido en las cláusulas informativas.

En aquellos supuestos en que ya se hubiera obtenido nuestro consentimiento previamente, si éste no cumple con las nuevas exigencias del Reglamento europeo, será preciso volver a otorgarlo; por ello, estamos recibiendo en estas fechas comunicaciones de empresas, bancos o servicios que nos piden de nuevo que ratifiquemos nuestra conformidad al tratamiento de nuestros datos personales para cumplir esta normativa europea.

Los derechos ARCO -acceso, rectificación, cancelación y oposición al tratamiento de nuestros datos – se refuerzan con derechos adicionales como el de portabilidad -tan útil en telefonía-, o el derecho al olvido que permite solicitar el borrado y la eliminación de nuestros datos en la red. Una exigencia legal reclamada desde hace tiempo por muchos usuarios de Internet y RRSS.

Por otra parte, para los obligados a su cumplimiento las principales novedades del Reglamento son la desaparición del requisito de registrar los ficheros ante la Agencia Española de Protección de Datos, sustituyéndose por registros de Actividades de Tratamiento, como una parte más del documento de seguridad, así como exigírseles una responsabilidad proactiva que implique acciones preventivas como firmar códigos de conducta o elaborar principios de seguridad, teniendo que adoptarse medidas técnicas, organizativas y de custodia de los datos que sean suficientes para un tratamiento con todas las garantías legales con el fin de evitar riesgos, creando accesos seguros a las bases de datos, copias de seguridad y protegiendo los sistemas informáticos.

Las brechas de seguridad o pirateos de bases de datos como la sufrida por Facebook ya no podrán ocultarse, ni retrasar la comunicación de su existencia, porque habrá que informar de ello a la autoridad competente en un plazo máximo de 72 horas, y a los interesados en el caso de que les afecte de modo grave.

Se crea la obligación de realizar una Evaluación del impacto cuando se trate de datos de riesgo; y una nueva figura, la del delegado de Protección de Datos como asesor especialista en la materia, se convierte en obligatoria en las empresas públicas, en aquellas en las que tratan datos a gran escala y en las que recogen datos especialmente sensibles.

El Reglamento europeo de protección de datos incrementa el importe de las sanciones que pueden llegar a 20 millones de euros o al 4% del volumen de negocio.

Europa coordinará bajo estos parámetros legales a las distintas autoridades de protección de datos de todos los Estados miembros a través del Comité Europeo de Protección de Datos, conscientes de que el ecosistema digital se alimenta de datos que traspasan fronteras, al tiempo que se crea la ventanilla única que permitirá dirigirse a un único supervisor europeo.

Para concluir, es interesante saber que ante cualquier vulneración podremos ejercitar acciones judiciales o presentar una reclamación ante la autoridad de control, la AEPD, siendo este último un sistema gratuito y sin costes ante el que, en su caso, también podrá solicitarse la correspondiente indemnización por los daños y perjuicios sufridos.

El Reglamento de Protección de Datos es una regulación que no podemos obviar o desconocer. Hoy, más que nunca, vivimos en la red y debemos ser conscientes del verdadero valor de proteger nuestros datos personales.

 

NOTA: Este artículo forma parte del servicio de firmas de la Agencia EFE al que contribuyen diversas personalidades, cuyos trabajos reflejan exclusivamente las opiniones y puntos de vista de sus autores.

imagen

imagen