¡Pide presupuesto en 2 min! ✓
Glosario

Reglamento General de Protección de Datos y Responsables de tratamiento

16 Mins read

Con motivo de la entrada en vigor del Reglamento General de Protección de Datos aprobado por la UE, la AEPD ha elaborado unas guías que ayudarán a las pequeñas y medianas empresas a adaptarse a esta nueva normativa.
Se modifican varios aspectos hasta ahora recogidos en la LOPD con la finalidad de aumentar la privacidad y protección de los datos personales. Por eso, vamos a analizar las principales obligaciones que este Reglamento impone a los responsables de tratamiento.

El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y es aplicable a partir de mayo de 2018.

El RGPD es una norma directamente aplicable, que no precisa de normas internas de transposición ni tampoco, en la mayoría de los casos, de normas de desarrollo o aplicación. Por ello, los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales.
Este Reglamento contiene muchos conceptos y principios similares a los establecidos por la actual normativa española de Protección de Datos (LOPDGDD). Por lo que las entidades que actualmente cumplen esta normativa también cumplen la normativa europea.

La mayor novedad del RGPD para los responsables de tratamiento la forman dos principios que suponen la base de todas las obligaciones:

Principio de Responsabilidad proactiva, ¿qué es?

El RGPD regula este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé. Y asegurarse de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
En resumen, este principio requiere una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.

Medidas de Responsabilidad activa

Dentro de este principio de responsabilidad proactiva debemos destacar las siguientes medidas

Responsables y encargados deberán mantener un registro de operaciones de tratamiento en el que se contenga la información que establece el RGPD y que contenga cuestiones como:

  • Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos si existiese
  • Finalidades del tratamiento
  • Descripción de categorías de interesados y categorías de datos personales tratados
  • Transferencias internacionales de datos…

Protección de Datos desde el Diseño y por defecto

Desde el inicio, los responsables deben adoptar medidas organizativas y técnicas para incorporar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD.

Los responsables deben adoptar medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos.

Este tipo de medidas reflejan muy directamente el enfoque de responsabilidad proactiva. Se trata de pensar en términos de protección de datos desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales.

Medidas de seguridad

En el RGPD, los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado atendiendo a los riesgos detectados en el análisis previo.

Las medidas técnicas y organizativas deberán establecerse teniendo en cuenta:

  • El coste de la técnica
  • Los costes de aplicación
  • La naturaleza, el alcance, el contexto y los fines del tratamiento
  • Los riesgos para los derechos y libertades

El cuadro de medidas de seguridad recogido en el Reglamento de Desarrollo de la LOPD no seguirá siendo válido de forma automática tras la fecha de aplicación del RGPD.

En algunos casos los responsables podrán seguir aplicando las mismas medidas que establece el Reglamento de la LOPD si los resultados del análisis de riesgos previo concluye que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado. En determinados casos será necesario completarlas con medidas adicionales o eliminar alguna de las medidas.

Notificación de violaciones de seguridad de los datos

El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como “quiebras de seguridad”, de una forma muy amplia. Incluye todo incidente que produzca la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros constituyen violaciones de seguridad a la luz del RGPD y deben ser tratadas como el Reglamento establece.

Evaluación de Impacto sobre la Protección de Datos

Los responsables de tratamiento están obligados a efectuar una Evaluación de Impacto sobre la Protección de Datos previamente a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.

El RGPD establece un contenido mínimo de las Evaluaciones de Impacto sobre la Protección de Datos, aunque no contempla ninguna metodología específica para su realización

Enfoque de riesgo

El RGPD establece que las medidas destinadas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas.
Según este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán articularse en función del nivel y tipo de riesgo que los tratamientos presenten.

Se maneja el riesgo de dos maneras:

  • En algunos casos, prevé que determinadas medidas solo deberán aplicarse cuando el tratamiento suponga un alto riesgo para los derechos y libertados (por ejemplo, Evaluaciones de impacto sobre la Protección de Datos).
  • En otros casos, las medidas deberán modularse en función del nivel y tipo de riesgo que el tratamiento conlleve (por ejemplo, con las medidas de Protección de Datos desde el Diseño o con las medidas de seguridad).

La aplicación de las medidas previstas por el RGPD debe adecuarse, por tanto, a las características de las organizaciones. Esto puede ser apropiado para una organización que maneja datos de millones de interesados en tratamientos complejos referidos a información personal sensible o volúmenes importantes de datos sobre cada afectado. Pero no es necesario para una pequeña empresa que realiza un volumen limitado de tratamientos de datos no sensibles.

Obligaciones para el responsable de tratamiento

Todos los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo. El tipo de análisis variará en función de:

  • los tipos de tratamiento,
  • la naturaleza de los datos,
  • el número de interesados afectados,
  • la cantidad y variedad de tratamientos que una misma organización lleve a cabo.

Grandes organizaciones: como regla general, el análisis deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgo existentes.

Organizaciones de menor tamaño y con tratamientos de poca complejidad: el análisis será el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados. La reflexión deberá dar respuesta a cuestiones como las que se exponen a continuación. Cuanto mayor sea el número de respuestas afirmativas mayor sería el riesgo que podría derivarse del tratamiento. Si la respuesta a estas preguntas y otras del mismo tipo fuera negativa, es razonable concluir que la organización no realiza tratamientos que generen un elevado nivel de riesgo. Y, por tanto, no debe poner en marcha las medidas previstas para esos casos.

  • ¿Se tratan datos sensibles?
  • ¿Se incluyen datos de una gran cantidad de personas?
  • ¿Incluye el tratamiento la elaboración de perfiles?
  • ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
  • ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
  • ¿Tratamos grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
  • ¿Utilizamos tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?

 Justificación para el tratamiento de datos

El Reglamento sigue manteniendo el principio de que todo tratamiento de datos debe apoyarse en una base que lo legitime y recoge los mismos requisitos que exige la LOPD:

  • Consentimiento.
  • Relación contractual.
  • Intereses vitales del interesado o de otras personas.
  • Obligación legal para el responsable.
  • Interés público o uso de poderes públicos.
  • Intereses legítimos predominantes del responsable o de terceros a los que se comunican los datos.

La principal modificación que establece el RGPD respecto a la normativa anterior es que el consentimiento debe ser inequívoco.

Consentimiento cierto

El consentimiento cierto o inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa.
A diferencia de lo establecido en la antigua LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se fundamentan en la inacción.

Se consideran situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito:

  • Tratamiento de datos sensibles.
  • Adopción de decisiones automatizadas.
  • Transferencias internacionales.

El consentimiento puede ser inequívoco y concederse implícitamente cuando se deduzca de una acción del interesado. Por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación.

Los tratamientos anteriores a la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera otorgado de la manera prevista en el propio RGPD, es decir, mediante una manifestación o acción afirmativa.

Consejos para los responsables del tratamiento

  • Revisar los tratamientos que realicen y no seguir obteniendo el consentimiento por omisión.
  • Realizar la adaptación al RGPD obteniendo un consentimiento de los afectados acorde con lo exigido en esta norma. O valorando si los tratamientos afectados pueden apoyarse en otra base legal como el interés legítimo del responsable o del cesionario de los datos que se imponga sobre los derechos del interesado.

Principio de Transparencia e información a los afectados

El RGPD exige que la información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá facilitarse de manera concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

Obligaciones para los responsables de tratamientos

  • Se deberán evitar las fórmulas especialmente confusas y que incluyen referencias a los textos legales.
  • Las cláusulas informativas deberán explicar el contenido al que inmediatamente se refieren de forma clara y accesible para los interesados, con independencia de sus conocimientos en la materia.
  • Se establece una lista exhaustiva de la información que debe proporcionarse a los interesados que añade:

    Base jurídica del tratamiento

    Intención de realizar transferencias internacionales

    Datos del Delegado de Protección de Datos (si lo hubiere)

    Elaboración de perfiles

  • La información a los interesados deberá facilitarse por escrito, incluidos los medios electrónicos cuando sea apropiado.

Relaciones entre el Responsable y el Encargado del tratamiento de datos personales

El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otra entidad que presta un servicio al responsable que implica el tratamiento de datos personales por cuenta de éste.

Los tipos de encargado del tratamiento y las formas en que se regulará su relación pueden ser tan dispares como los tipos de servicios que puedan dar lugar a un acceso a datos personales. Así, podemos estar ante servicios cuyo objeto principal es el tratamiento de datos personales (por ejemplo, una empresa o entidad pública que ofrece un servicio de alojamiento de información en sus servidores) y otros que tratan datos personales sólo como consecuencia de la actividad que presta por cuenta del responsable del tratamiento (por ejemplo el gestor de un servicio público municipal).

Funciones del encargado del tratamiento

Aunque, según la definición, puede quedar clara la función del encargado del tratamiento, existen multitud de situaciones en las que será complicado distinguir si estamos ante un responsable o un encargado del tratamiento.

Para hacer más fácil esta diferenciación, hay que tener en cuenta que corresponde al responsable decidir sobre la finalidad y utilización de la información, mientras que el encargado del tratamiento debe cumplir con las instrucciones de quien le confía un determinado servicio, en relación al adecuado tratamiento de los datos personales a los que pueda acceder como consecuencia de la prestación de este servicio.

El encargado puede realizar todos los tratamientos, automatizados o no, que el responsable del tratamiento le haya delegado expresamente. La definición de tratamiento nos permite concretarlos atendiendo al ciclo de vida de la información: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Nivel de decisión del encargado del tratamiento

El encargado del tratamiento puede tomar todas las decisiones organizativas y operacionales precisas para la prestación del servicio que tenga contratado. En ningún caso puede modificar las finalidades y los usos de los datos ni los puede utilizar para sus propios fines.

Las decisiones que adopte deben respetar en todo caso las instrucciones dadas por el responsable del tratamiento.

El responsable del tratamiento debe elegir un encargado del tratamiento que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas, de acuerdo con lo establecido en el RGPD, y que garantice la protección de los derechos de las personas afectadas. Existe, por tanto, un deber de diligencia en la elección del responsable.

El Reglamento europeo de Protección de Datos indica que el encargado del tratamiento debe ofrecer suficientes garantías en lo referente a conocimientos especializados, fiabilidad y recursos, con vistas a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del Reglamento, incluida la seguridad del tratamiento. Para ello establece mecanismos de prueba como la adhesión a códigos de conducta o la posesión de un certificado.

Ordenación de las relaciones entre el responsable y el encargado del tratamiento

La relación entre el responsable y el encargado del tratamiento debe regularse mediante un contrato que les vincule. El contrato debe establecerse por escrito.

La posibilidad de regular esta relación a través de un acto jurídico unilateral del responsable del tratamiento es una de las novedades recogidas en el RGPD.  Debe tratarse de un acto jurídico que determine y defina la posición del encargado del tratamiento, siempre y cuando ese acto vincule jurídicamente al encargado del tratamiento. Este sería el caso, por ejemplo, de una resolución administrativa que conste notificada al encargado del tratamiento.

En cualquier caso, ya se trate de un acuerdo o de otro acto jurídico, su contenido debe reunir los requisitos establecidos en el RGPD, a los que más adelante se hace referencia.

El contenido del acto o acuerdo puede basarse en cláusulas tipo establecidas por la Comisión Europea o por la autoridad de control, inclusive cuando formen parte de una certificación otorgada al responsable o al encargado del tratamiento.

Contenido mínimo del contrato o acuerdo de encargo del tratamiento

Como mínimo debe establecerse el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

En particular, debe indicarse:

Instrucciones del responsable del tratamiento

Es necesario identificar de forma clara y concreta cuáles son los tratamientos de datos a realizar por el encargado del tratamiento, atendiendo al tipo de servicio prestado y a la forma de prestarlo. Es especialmente necesario determinar de forma clara las comunicaciones a terceros que el responsable encomienda al encargado o que se derivan del servicio prestado.

La sujeción a las instrucciones del responsable deberá producirse igualmente en el caso de las transferencias internacionales de datos que puedan producirse como consecuencia de la prestación del servicio. Si el encargado del tratamiento está obligado legalmente, por el Derecho de la Unión o de un Estado miembro, a transferir datos a un tercer país deberá informar al responsable antes de llevar a cabo el tratamiento, salvo que tal derecho lo prohíba por razones importantes de interés público.

Deber de confidencialidad

Debe indicarse la forma en que el encargado del tratamiento garantizará que las personas autorizadas para tratar datos personales se han comprometido, de forma expresa, a respetar la confidencialidad o, en su caso, si están sujetas a una obligación de confidencialidad de naturaleza estatutaria.

El cumplimiento de esta obligación debe quedar documentado y a disposición del responsable del tratamiento.

Medidas de seguridad

Ese acuerdo debe recoger la obligación del encargado de adoptar todas las medidas de seguridad necesarias.

Corresponde al responsable del tratamiento realizar la evaluación de riesgos para determinar las medidas de seguridad apropiadas para garantizar la seguridad de la información tratada y los derechos de las personas afectadas. Así mismo el encargado también debe evaluar los posibles riesgos derivados del tratamiento, teniendo en cuenta los medios utilizados (tecnologías, recursos etc.) y otras circunstancias que puedan incidir en la seguridad, como por ejemplo que el encargado lleve a cabo otros tratamientos.

Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y las libertades de las personas físicas, el responsable y el encargado del tratamiento establecerán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo existente que, en su caso, incluyan, entre otros:

a) La seudoanimización y el cifrado de datos personales;
b) La competencia para asegurar la confidencialidad, integridad y disponibilidad de los sistemas y servicios de tratamiento;

c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;

d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales sólo pueda tratarlos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.

Régimen de subcontratación

El RGPD exige la autorización previa por escrito del responsable del tratamiento para que el encargado del tratamiento pueda requerir a otro encargado (subencargado) para desarrollar el servicio atribuido, cuando esto conlleve el tratamiento de los datos personales por parte de un tercero.

Esta autorización puede ser específica o general. En el supuesto que la autorización sea de carácter general, el encargado informará al responsable de la incorporación de un subencargado o su sustitución por otros subencargados, dando así al responsable la oportunidad de oponerse a dichos cambios.

El subencargado del tratamiento debe estar sujeto a las mismas condiciones y en la misma forma (acuerdo por escrito o acto jurídico vinculante) que el encargado del tratamiento en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En caso de incumplimiento por el subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento en lo referente al cumplimiento de las obligaciones del subencargado.

Derechos de los interesados

Se recogerá la manera en la que el encargado del tratamiento asistirá al responsable en la obligación de atender a las solicitudes de ejercicio de derechos de los interesados regulados en el RGPD:

  • Acceso a datos personales
  • Rectificación
  • Supresión (derecho al olvido)
  • Limitación del tratamiento
  • Portabilidad de datos
  • Oposición
  • A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles)

El acuerdo deberá establecer claramente si atañe al encargado del tratamiento recoger y dar respuesta a las solicitudes de estos derechos o bien establecer expresamente que su única obligación es comunicar al responsable del tratamiento que se ha ejercido un derecho.

Con respecto al primer caso, el acuerdo debe establecer la forma y los plazos para atender o, en su caso, dar respuesta a las solicitudes de ejercicio de derechos. En el segundo supuesto, debe establecerse la forma y el plazo en que la solicitud y, en su caso, la información correspondiente al ejercicio del derecho se debe comunicar al responsable del tratamiento.

Respecto al derecho de información de las personas afectadas, se trata de un derecho no sujeto a solicitud y, por tanto, no sujeto a las previsiones del RGPD. Pese a ello, en aquellos casos en que el encargado deba realizar la recogida de datos es recomendable establecer en el acuerdo o acto jurídico la forma y el momento en que debe darse el derecho de información.

Colaborar en el cumplimiento de las obligaciones del responsable

Se debe establecer la forma en que el encargado ayudará al responsable a garantizar el cumplimiento de las obligaciones relativas a la aplicación de las medidas de seguridad que correspondan, la notificación de violaciones de datos a las Autoridades de Protección de Datos, la comunicación de violaciones de datos a los interesados, la realización de las evaluaciones de impacto relativa la protección de datos y, en su caso, la realización de consultas previas.

El responsable puede delegar en el encargado el cumplimiento de estas obligaciones.

Destino de los datos al finalizar la prestación

Hay que prever si, una vez finalice la prestación de los servicios de tratamiento, el encargado del tratamiento debe proceder a la supresión o a la devolución de los datos personales y de cualquier copia existente, ya sea al responsable o a otro encargado designado por el responsable.

El acuerdo debe establecer de forma clara cuál de las dos opciones es la elegida por el responsable, así como la forma y el plazo en que debe cumplirse.

En todo caso, los datos deberán ser devueltos al responsable cuando se requiera la conservación de los datos personales, en virtud del Derecho de la Unión o de los Estados miembros.

No obstante, el encargado puede conservar una copia con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

Colaborar con el responsable para demostrar el cumplimiento

El encargado del tratamiento debe poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, realizadas por el responsable o por otro auditor autorizado por el responsable.

No olvides que, desde Grupo Ático34, te mantenemos al día en todas las novedades que introduzca esta nueva normativa europea y, si tienes cualquier consulta, puedes contactar con nosotros en el tlfno. 91 489 64 19

Related posts
Glosario

Cesión de datos a terceros

12 Mins read
Te explicamos con todo detalle cómo afecta la LOPDGDD en el acceso y la cesión de datos de terceros. ✅
Glosario

Publicidad Activa y Pasiva - Ley de Transparencia 19/2013 - ¿Qué es?

6 Mins read
La publicidad activa y el derecho de acceso a la información pública de los ciudadanos son dos conceptos íntimamente relacionados que configuran…
Glosario

K-anonimidad - ¿Qué es? ¿Métodos? ¿En qué consiste?

5 Mins read
Vivimos en un mundo en el que resulta cada vez más difícil mantener el anonimato. Nuestra información personal está en los ficheros…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.