top of page

Las empresas que procesan big data y las obligaciones del Reglamento de Protección de Datos Europeo


Antecedentes


El nuevo Reglamento de Protección de Datos Europeo 2016/ 679 (RPDE) entró en vigor el pasado 25 de Mayo de 2016, y no será plenamente aplicable hasta el 25 de Mayo de 2018, dando así cierto espacio de tiempo a los Estados Miembros y partes implicadas para adecuarse a su cumplimiento.


La nueva regulación sustituye y deroga la Directiva de Protección de Datos 95/46/CE y será aplicable a todos los estados miembros de la Unión Europea, y es de especial aplicación a las empresas que procesan "big data".


Con el RPRE se establece un nuevo marco y cambios relevantes en la actual legislación de Protección de Datos, reforzando los derechos de los titulares de datos personales e imponiendo nuevas obligaciones para las empresas que actúan como responsables o encargados del tratamiento de datos, en especial aquellas que utilizan grandes cantidades de datos personales, crean perfiles como parte actividades de marketing y e-commerce, o tratan datos especialmente protegidos.


Las empresas y empresarios individuales que procesen datos como parte de sus actividades y/o operaciones quedan sujetos y en consecuencia, deben cumplir con el nuevo Reglamento.

Principales aspectos del RPDE

Los aspectos principales de la nueva regulación son los siguientes:

  • El RPDE será de aplicación a compañías situadas fuera de la Unión Europea (UE), expandiendo por tanto su alcance territorial. Empresas situadas fuera de la UE que procesan datos en la UE, o monitorizan el comportamiento de los consumidores dentro de la UE, quedan sujetos al RPDE y deberán nombrar un representante en la UE.

  • Nuevos requisitos para las notificaciones de procesamiento de datos y consentimiento de los titulares de los datos. El RPDE establece nuevos requisitos para la obtención del consentimiento de los titulares de datos personales para el procesamiento de sus datos. Por ejemplo, el titular de los datos en el momento de dar su consentimiento para procesarlos, debe saber que tiene derecho a retirar su consentimiento en cualquier momento de forma fácil. Retirar el consentimiento debe ser tan fácil como obtenerlo. La normativa explica en que situaciones el consentimiento no se considera otorgado libremente por el titular de los datos. En este sentido, el responsable del tratamiento no puede condicionar la ejecución de un contrato a la entrega de datos personales que no sean necesarios para el cumplimiento del mismo, ya que en dicho caso el consentimiento podría considerarse que no se ha otorgado “libremente”. Para el caso de actividades de marketing, el titular tiene un “derecho a oponerse u objetar” al uso de sus datos para dichas finalidades. Lo anterior supone que las empresas tendrán de revisar sus mecanismos de obtención del consentimiento para adaptarse a la nueva regulación. Adicionalmente, la nueva normativa exige transparencia respecto de la información facilitada a los titulares de datos personales en relación con el procesamiento de sus datos, así como requisitos más detallados. Por ejemplo, entre otros, el responsable del tratamiento debe informar sobre el plazo durante el cual se conservarán los datos, el derecho que le asiste al titular de datos de presentar una reclamación ante las autoridades de control, y en algunos supuestos la base legal para el procesamiento de datos. En consecuencia, las notificaciones por las que se facilita la información exigible para el procesamiento de datos deberán ser revisadas para cumplir con los nuevos requisitos.

  • Protección de Datos desde el diseño y por defecto. Se imponen nuevas obligaciones a los responsables del tratamiento para demostrar su cumplimiento con la legislación, entre otras, la implementación de protección de datos desde el diseño y por defecto, como puede ser la minimización de datos; también en algunos supuestos, la realización de una evaluación de impacto relativa a la protección de datos cuando el procesamiento de datos comporte mayor riesgo, como sería en la creación de perfiles personales.

  • Designación del Delegado de Protección de Datos. Las empresas que procesan datos como responsables o encargados del tratamiento pueden en ciertos casos estar obligados a designar un Delegado de Protección de Datos (DPD). El DPD puede formar parte de la plantilla de la compañía o ser un profesional externo que presente servicios a la misma, y debe poseer conocimientos expertos en la materia.

  • Derechos de los titulares de los datos. La nueva normativa establece una marco más protector de los derechos de los titulares de datos personales, concediendo entre otros, el derecho a corrección de los datos, derecho de acceso a los datos personales parte del procesamiento, etc.. También establece el derecho a la "Portabilidad de los Datos", que permite a los titulares de datos personales a recibir los datos que le incumban en un formato estructurado de uso común y lectura mecánica. Como consecuencia de la decisión del Tribunal de Justicia de la UE en el caso Google contra España, se reconoce al titular de los datos el denominado “Derecho al olvido”. Este derecho permite al titular de los datos solicitar la supresión de datos que le conciernan sin dilación en algunos supuestos, que son, cuando haya retirado su consentimiento y no exista base legal para el procesamiento. Los responsables del tratamiento deben responder en un mes. Este derecho también supone que el titular de los datos pueda solicitar el bloqueo en las listas de resultados de los buscadores, de los links que dirijan a información que le concierna y sea obsoleta, incompleta, falsa o irrelevante y no sea de interés público, entre otros. Se deben establecer nuevos procesos por los responsables del tratamiento para cumplir con dichas obligaciones.

  • Los encargados del tratamiento tendrán obligaciones directas. Los encargados del tratamiento procesan datos únicamente como parte de la prestación de servicios al responsable del tratamiento. Los encargados del tratamiento deben procesar los datos cumpliendo con las instrucciones impartidas por el responsable del tratamiento y deben cumplir con ciertas obligaciones a las que el responsable del tratamiento queda sujeto. En consecuencia, no existen obligaciones directas en relación con los datos personales para el encargado del tratamiento. La nueva regulación presenta una novedad al respecto, ya que por primera vez los encargados del tratamiento tendrán que cumplir con obligaciones de aplicación directa. En este sentido, deberán mantener un registro de las actividades de tratamiento, designar un Delegado del Protección de Datos (DPD), notificar al responsable del tratamiento sin dilaciçon sobre la violación de la seguridad de los datos. Ello hace necesario que las empresas, que actúen como responsables y encargados del tratamiento, revisen sus acuerdos comerciales para analizar el trato que se da a los aspectos relativos a datos personales y el impacto de la nueva regulación.

  • Notificación de violación de la Seguridad de los Datos. Los responsables del tratamiento quedan obligados a notificar una violación de seguridad de los datos personales a la Agencia de Protección de Datos (APD) sin dilación, y de ser posible dentro de 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. En ciertos supuestos, los titulares afectados también deberán ser notificados. Ello sería necesario cuando sea probable que dicha violación comporte un alto riesgo para los derechos y libertadas de las personas físicas, y el responsable del tratamiento no haya adoptado o no adopte las medidas establecidas en la ley (por ej. adopción de medidas técnicas como la encriptación de los datos). Del mismo modo, los encargados del tratamiento deberán notificar a los responsables del tratamiento sin dilación, cuando se produzca una violación de seguridad de los datos. En consecuencia, las empresas deberán establecer un procedimiento interno para tratar las violaciones de la seguridad de datos.

  • Transferencias Internacionales. Las transferencias internacionales de datos fuera de la UE quedan sujetas al cumplimiento de ciertas garantías aprobadas de antemano por la UE, tales como, las denominadas “cláusulas tipo”, o "normas corporativas vinculantes", entre otras. Como aspecto principal, las compañías que actúan como exportadores de datos que han obtenido el consentimiento del titular para transferir datos fuera de la UE, tienen la obligación de asegurar que el titular de los mismos ha sido suficientemente informado de los riesgos de la transferencia. En el caso de que no se pueda aplicar ninguna de las excepciones que permita la transferencia, o no exista una decisión previa de la Agencia de Protección de Datos autorizando la transferencia a un país tercero no comunitario, se permite la transferencia de datos fuera de la UE si la misma no es repetitiva, afecta a un número limitado de titulares de datos y existe un interés legítimo del responsable del tratamiento sobre el que no prevalezcan los derechos y libertades del la persona física titular de los mismos. En este caso, la noción de "interés legítimo" queda sujeta a ciertos requisitos, entre otros, el responsable del tratamiento deberá valorar todas las circunstancias y deberá establecer garantías adecuadas para la protección de los datos. Además, el responsable del tratamiento deberá notificar a la Agencia de Protección de Datos acerca de la transferencia.

  • Normas Corporativas Vinculantes. El RPDE permite el uso de normas corporativas vinculantes por parte de responsables y encargados del tratamiento como medio para posibitar la cesión o transferencia internacional intra-grupo de los datos.

  • Sanciones más elevadas. La nueva normativa establece sanciones por incumplimiento de hasta el 2% al 4% del volumen de negocios anual o de 10 a 20 millones de Euros. Es aconsejable que las compañías revisen sus políticas internas y procedimientos para verificar si son conformes con la nueva normativa y evitar dichas sanciones.

  • Supresión de los requisitos de notificación. Se ha suprimido el requisito de notificación previa u obtención de aprobación previa de la Agencia de Protección de Datos (APD) para ciertos casos. En consecuencia, son los responsables del tratamiento los que deberán realizar una evaluación y establecer procedimientos para cumplir con la ley al objeto de evitar potenciales sanciones. Si no lo hacen podrán quedar sujetos a las sanciones indicadas. La posibilidad de consulta previa sigue siendo aplicable en ciertos casos, como por ejemplo, cuando los resultados de la evaluación de impacto que lleve a cabo el responsable del tratamiento muestren que existe un riesgo elevado en el procesamiento de datos que se lleva a cabo.

  • One-Stop-Shop. Conforme a este principio una empresa con operaciones en varios países de la UE, deberá tratar solamente con la Agencia de Protección de Datos o autoridad de control principal donde tiene su establecimiento principal. Para tratar asuntos localmente, el Reglamento establece un mecanismo para que la autoridad de control principal y las autoridades de control interesadas puedan trabajar conjuntamente. Se debe esperar a la aplicación de la norma para valorar la efectividad de este mecanismo.

  • Nuevo Comité Europeo de Protección de Datos. Este comité sustituye el Grupo de Trabajo del Articulo 29, y quedará compuesto por el Supervisor Europeo de Protección de Datos, o sus representantes, y los Directores de las Agencias de Protección de Datos o autoridades de control nacionales de cada estado.


Acciones recomendadas

Considerando los cambios y la onerosidad de las obligaciones que impone el nuevo Reglamento a las empresas responsables y encargados del tratamiento de datos, a pesar de su posterior aplicación en el tiempo, se hace necesario que las empresas afectadas empiecen a establecer procedimientos internos y el marco necesario para cumplir con la nueva normativa. Esto les permitirá detectar insuficiencias y dificultades y corregirlas, ahora que las medidas no son obligatorias y por tanto, su corrección y efectividad no están sujetas a supervisión, de este modo estarán preparados cuando la norma sea plenamente aplicable.

Si tiene cualquier cuestión o precisa información adicional sobre este tema, no dude en ponerse en contacto con nosotros. Actúe y haga que su empresa cumpla con la legislación aplicable.

*********

bottom of page