El Reglamento General de Protección de Datos (RGPD), conocido también como “Reglamento Europeo de Protección de Datos”, entró en vigor en mayo de 2016.

No obstante, no será aplicable hasta el 25 de mayo de 2018, por lo que los responsables y encargados de tratamiento, pueden ir adecuando el tratamiento de datos personales que realizan a lo previsto en el citado Reglamento.

Asimismo, el Reglamento es directamente aplicable, por lo que a diferencia de la Directiva 95/46 no necesita ser transpuesto al ordenamiento jurídico español. Sin embargo, la aplicación del RGPD supone que la normativa vigente existente en la actualidad, formada principalmente por la LOPD y su Reglamento de desarrollo, tienen que ser derogadas.

También será necesario aprobar algunas disposiciones normativas que facilitan la aplicación del Reglamento o que derivan de las habilitaciones que contiene para los Estados Miembro. Para todo ello se está tramitando una nueva Ley Orgánica de Protección de Datos adecuada a lo dispuesto en el citado RGPD.

El RGPD, además de aplicarse como hasta ahora a responsables o encargados de tratamientos de datos establecidos en la Unión Europea, contempla su aplicación a aquellos responsables y encargados, que si bien no se encuentran establecidos en la Unión, realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

Para que esa ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades.

Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.

Los datos de contacto son información referida a personas físicas identificadas (datos de carácter personal) por lo que su tratamiento se encuentra sometido al RGPD.

En consecuencia no cabe considerar aplicable la exclusión hasta ahora vigente en el Reglamento de desarrollo de la LOPD.

No obstante, su tratamiento podría realizarse al amparo del artículo 6.1 f) del RGPD (regla del interés legítimo) si se cumplen los siguientes requisitos:

• Se traten los mínimos datos imprescindibles de contacto.
• Se traten con la finalidad de mantener relaciones “businesstobusiness” (B2B)
  
  [plegar]

El RGPD requiere que el consentimiento sea “inequívoco”, lo que supone que se preste mediante una manifestación del interesado o mediante una clara acción afirmativa.

Esto excluye la utilización del llamado consentimiento tácito, que todavía permite la normativa española de protección de datos.

Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción.

En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de internet.

El consentimiento en el marco del RGPD se caracteriza por lo siguiente:

• Puede ser para uno o varios fines.
• Debe ser prestado de forma libre.
• Revocable.
• El responsable debe poder probar en todo momento que ha obtenido el consentimiento.
• Utilizar un lenguaje claro y sencillo.

Por otra parte, también debe ser tenido en cuenta lo siguiente:

Si se usa para obtenerlo una declaración escrita, debe quedar claramente diferenciada la parte referente a protección de datos del resto de declaraciones.

Si se recaba el consentimiento para varias finalidades:

• Sería posible agruparlas en virtud de su vinculación (por ejemplo, consentimiento para la recepción de publicidad propia o de terceros).
• Pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo tratamiento por quien recaba los datos y cesión a terceros).

Asimismo, existen supuestos en que además de inequívoco, el consentimiento ha de ser explícito:

• Tratamiento de datos sensibles.
• Adopción de decisiones automatizadas.
• Transferencias internacionales.
  
  [plegar]

Como ya se ha indicado en la anterior FAQ, con el RGPD desaparecen los consentimientos tácitos, lo que supone que este tipo de consentimientos no son acordes con la nueva norma.

De esta forma, una vez que sea aplicable el RGPD (25 de mayo de 2018), estos consentimientos deberán adaptarse a los requisitos establecidos por el mismo, de manera que debe encontrarse otra forma de legitimación para estos tratamientos:

• Mediante una nueva solicitud de consentimiento acorde con el RGPD.
• Mediante la aplicación de algún otro supuesto de legitimación, como podría ser la regla del interés legítimo que tendría que ponderarse.
• Para determinar si es posible aplicar esta regla del interés legítimo, habrá de atenderse a las circunstancias de cada tratamiento concreto y, en particular, el origen de los datos, el alcance de la información tratada o la finalidad perseguida, no siendo posible fijar una respuesta única.

Por ejemplo: Envío de comunicaciones comerciales sobre los propios productos o servicios podría ser adecuada a la vista de la Directiva e-privacy y la LSSI; Tratamiento de dato que el afectado hubiese hecho manifiestamente públicos.

En todo caso, si se opta por una base legal distinta del consentimiento será preciso informar a los interesados, entendiendo que, además, les corresponden todos los derechos y garantías propios de la base jurídica elegida, como podría ser el derecho de oposición.

A partir del 25 de mayo de 2018, desaparece la obligación de inscribir ficheros, tanto de responsables públicos o privados, en el Registro de Ficheros de la AEPD, o registro de la autoridad autonómica competente.

Los responsables y encargados deben mantener este registro por escrito, incluso en formato electrónico, en el que se incluya una descripción de los tratamientos de datos que realicen con la siguiente información:

• Nombre y datos de contacto del responsable, y en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.
• Fines del tratamiento, descripción de categorías de interesados y de categorías de los datos personales.
• Categorías de destinatarios a quien se comuniquen los datos personales, incluidos destinatarios de terceros países u organizaciones internacionales.
• Transferencias internacionales.
• Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos, así como las medidas técnicas y organizativas de seguridad adoptadas.

En el caso de los encargados de tratamiento, la información será similar a la indicada anteriormente, pero adecuada a la prestación de servicios de tratamientos de datos que realizan en favor del responsable.

Por ejemplo, se incluirá sus datos de contacto y del responsable de por cuenta que actúan, o las categorías de tratamientos efectuados por cuenta de cada responsable.

Según el RGPD, este registro de actividades no será obligatorio si la empresa u organización emplea a menos de 250 trabajadores, salvo que los tratamientos que realicen supongan un riesgo para los derechos o libertades de los interesados, no sean ocasionales o incluyan categorías especiales de datos (pe. opiniones políticas, raza, afiliación sindical, datos genéticos, biométricos, salud) o datos relativos a condenas e infracciones penales.

El RGPD prevé que las medidas de cumplimiento para responsables o encargados deban aplicarse en función del riesgo que los tratamientos que realizan supongan para los derechos y libertades de los interesados.

Por ello, responsable y encargados deben llevar a cabo una valoración del riesgo de sus tratamientos realicen, con el fin de determinar qué medidas aplicar y cómo hacerlo. Este análisis del riesgo variará en función de:

• Los tipos de tratamiento.
• La naturaleza de los datos.
• El número de interesados afectados.
• La cantidad y variedad de tratamientos que realice una misma organización.
  
  [plegar]

Antes de referirnos a ese contenido mínimo, conviene destacar que el responsable del tratamiento debe elegir un encargado del tratamiento que ofrezca garantías suficientes respecto a la implantación y mantenimiento de las medidas técnicas y organizativas y en relación a la protección de los derechos de las personas.

Debemos partir de que la regulación de la relación entre el responsable y encargado del tratamiento tiene que plasmarse en un contrato o acto jurídico similar por escrito, o incluso en formato electrónico, que los vincule.

Respecto al contenido mínimo, estará formado por el objeto, la duración, la naturaleza y finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

En particular, el contrato o acto de encargo de tratamiento deberá contener:

• Las instrucciones del responsable del tratamiento.
• El deber de confidencialidad.
• Las medidas de seguridad.
• El régimen de la subcontratación.
• La forma en que el encargado asistirá al responsable en el cumplimiento de responder el ejercicio de los derechos de los interesados. -La colaboración en el cumplimiento de las obligaciones del responsable.
• El destino de los datos al finalizar la prestación Por tanto, responsables y encargados deberían abordar la revisión de los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, para que sean compatibles con las disposiciones del RGPD cuando se aplicable (25 de mayo de 2018), así como incluir todas las cláusulas con el contenido mínimo citado anteriormente.
  
  [plegar]

El RGPD añade requisitos adicionales a la hora de cumplir con el derecho de información en la recogida de datos que regula en la actualidad el artículo 5 de la LOPD.

Estos requisitos adicionales son los siguientes:

• Los datos de contacto del Delegado de Protección de Datos, en su caso; -La base jurídica o legitimación del tratamiento.
• El plazo o los criterios de conservación de la información.
• La existencia de decisiones automatizadas o elaboración de perfiles.
• La previsión de transferencias a terceros países.
• El derecho a presentar una reclamación ante las Autoridades de control.

Y además, en el caso de que los datos no se obtengan del propio interesado:

• El origen de los datos
• Las categorías de los datos.

En consecuencia, los procedimientos, modelos o formularios diseñados de conformidad con la LOPD, deberán ser revisados y adaptados por los responsables de tratamiento, con anterioridad a la fecha de aplicación del RGPD (25 de mayo de 2018).

Para facilitar este cumplimiento, se recomienda adoptar un modelo de información por capas o niveles, que consiste en lo siguiente:

• En un primer nivel, presentar una información básica (identificación del responsable, finalidad del tratamiento, ejercicio de derechos, origen de los datos, realización de perfiles), de forma resumida, en el mismo momento y medio en que se recojan los datos.
• En un segundo nivel, la información adicional, presentando de forma detallada el resto de informaciones (podría incluirse la política de privacidad).
  
  [plegar]

A diferencia del Reglamento de desarrollo de la LOPD, el RGPD no contempla un listado de medidas de seguridad en función de si el tipo de tratamientos es de nivel bajo, medio o alto, de forma que cuando el RGPD sea aplicable (25 mayo de 2018), este listado no será válido de forma automática.

El RGPD determina que las medidas de seguridad, tanto técnicas como organizativas, se establezcan teniendo en cuenta:

• El coste de la técnica.
• Los costes de aplicación.
• La naturaleza, alcance, contexto y fines del tratamiento.
• Los riesgos para los derechos y libertades.

Las medidas de seguridad a adoptar se implementarán acorde al análisis de riesgos previo realizado así como las evaluaciones de impacto cuando estás tengan lugar.

El RGPD regula la figura del Delegado de Protección de Datos (DPD) en los artículos 37 a 39, sin perjuicio de que aparece mencionado en otras partes del articulado así como en los considerandos de la norma.

Según el RGPD (artículo 37.5 y considerando 97), el DPD será una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos y con capacidad para desempeñar las funciones que el RGPD le atribuye.

Estos conocimientos serán exigibles en relación con los tratamientos que se realicen, así como las medidas que deban adoptarse para garantizar un tratamiento adecuado de los datos personales objeto de esos tratamientos.

El RGPD en su artículo 37.1 contiene los supuestos en los que es obligatorio designar un Delegado, y que son siempre que:

• El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
• Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
• Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
  
  [plegar]

Las funciones del Delegado de Protección de Datos se encuentran especificadas en el artículo 39 del RGPD, siendo las siguientes:

• Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones del RPGD y demás normativa aplicable en protección de datos.
• Supervisar el cumplimiento del RGPD y demás normativa aplicable en protección de datos, y de las políticas del responsable o encargado del tratamiento en dicha materia, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en operaciones de tratamiento, y las auditorías correspondientes.
• Ofrecer el asesoramiento que se solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación conforme al artículo 35 del RGPD.
• Cooperar con la autoridad de control.

Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa del artículo 36 del RGPD, y realizar consultas, en su caso, sobre cualquier otro asunto.

La Agencia Española de Protección de Datos (AEPD), consciente de la necesidad que va a tener el mercado para identificar a profesionales competentes que puedan desempeñar el puesto, en colaboración con ENAC, ha desarrollado un esquema de certificación destinado a certificar a estos profesionales.

Este esquema sigue los criterios internacionales de certificación de personas conforme a la norma ISO 17024 y otorgará al profesional certificado un reconocimiento de las competencias adecuadas para el desarrollo de sus funciones de conformidad con el RGPD.

Esta certificación de Delegados de Protección de Datos es voluntaria por tanto para poder ejercer como Delegado de Protección de Datos no es necesario estar certificado.

Las entidades encargadas de certificar a los Delegados de Protección de Datos serán las Entidades de Certificación que previamente hayan sido acreditadas por ENAC.

Por tanto, el Delegado de Protección de Datos que quiera obtener esta certificación puede solicitarlo a la Entidad de Certificación que elija y si cumple los prerrequisitos establecidos en el Esquema podrá realizar el correspondiente examen de certificación.

Para saber si una Entidad está acreditada se deberá consultar la web de la Agencia en la sección Certificación. Hasta ahora no consta ninguna entidad que haya solicitado oficialmente su acreditación a ENAC.

El Esquema establece unos requisitos para que las Entidades de Certificación reconozcan un programa de formación impartido por una entidad de formación.

Los requisitos exigidos a los programas de formación están definidos en el Esquema y consisten en:

• Respetar la duración requerida de la formación exigida (60, 100 o 180 horas según el prerrequisito aplicable al candidato a DPD),
• Impartir la materia de acuerdo con el programa definido en el Esquema (respetando los porcentajes asignados a los tres dominios de conocimiento del programa 50%, 30% y 20%, respectivamente),
• Disponer de un método de validación de la formación mediante la superación de un examen (no basta con justificar la asistencia a la formación) y
• Disponer de una metodología didáctica que incluya: impartición de conocimientos teóricos, realización de ejercicios prácticos y desarrollo de ejercicios en grupo. La formación podrá impartirse indistintamente con recursos electrónicos o presenciales.
  
  [plegar]