En España, los datos de carácter personal se encuentran regulados y amparados por la denominada popularmente cómo LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) , y el nuevo Reglamento General de Protección de Datos, en adelante RGPD (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), que entró en vigor en mayo de 2016 y será aplicable a partir de mayo de 2018.
Los datos de carácter personal son cualquier información referente a personas físicas identificadas o identificables, pudiendo ser identificable toda persona cuya identidad pueda determinarse mediante un identificador (por ejemplo, un nombre, un número de identificación, datos de localización o un identificador en línea) o mediante el uso de uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de las personas.
Existen los denominados datos especialmente protegidos, en los que además de los datos de salud, se encuentran los que hagan referencia a tu ideología, religión, origen racial, vida sexual, y comisión de infracciones penales y administrativas.
El derecho fundamental a la protección de datos reconoce al ciudadano la facultad de controlar sus datos personales y la capacidad para disponer y decidir sobre los mismos.
La Agencia Española de Protección de Datos es la autoridad de control independiente que vela por el cumplimiento de la normativa sobre protección de datos y garantiza y tutela el derecho fundamental a la protección de datos personales.
Por tanto, los responsables de ficheros o tratamientos (empresas, Administraciones Públicas u otras entidades) a los que se les han facilitado datos de carácter personal deben cumplir con unos principios y obligaciones que se regulan en el marco normativo anteriormente expuesto.
Aún cuando sigue vigente la Directiva 95/46 y, en el caso específico de España, la Ley Orgánica 15/1999, las organizaciones, y más concretamente los responsables y encargados de tratamiento deben ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del RGPD en el momento de su aplicación.
El RGPD es una norma directamente aplicable, que no requiere de normas internas de trasposición ni tampoco, en la mayoría de los casos, de normas de desarrollo o aplicación. Por ello, en principio se debe tener en cuenta que la norma de referencia es el RGPD.
Sin embargo, en el caso de nuestro país está previsto un nuevo desarrollo legislativo que sustituirá a la Ley actual anteriormente citada y que probablemente articule algunas precisiones o desarrollos específicos del RGPD en la medida que este lo permita.
No obstante, las organizaciones que en el momento actual cumplen con la normativa, disponen de una buena base para evolucionar hacia la aplicación de los nuevos criterios, gracias en buena parte, todo hay que decirlo, a una adecuada base legislativa existente en nuestro país, y de la cual, en algunos aspectos, bebe la norma comunitaria.
Sin embargo, cómo es lógico, el RGPD modifica aspectos e impone nuevas servidumbres que deben ser analizadas e implementadas por cada organización atendiendo a sus circunstancias.
Dicho todo lo anterior, existen en el nuevo reglamento elementos que destacan y suponen la mayor carga innovadora para los responsables de las Organizaciones, y de cuyo análisis e implementación se derivarán a su vez nuevos escenarios:
El principio de responsabilidad proactiva:
El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
Este principio exige una actitud consciente, diligente y proactiva de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo
El enfoque de riesgo:
El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas. De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.
La aplicación de las medidas previstas por el RGPD debe adaptarse, por tanto, a las características de las organizaciones, lo cual lleva a exigir un análisis individualizado de las necesidades concretas en función del tamaño y grado de sensibilidad de la información que se maneja y la repercusión que pudiera tener cualquier incidencia sobre los legítimos propietarios de esa información mediante el uso de herramientas de gestión del riesgo y el impacto que representa el tratamiento.
Principios fundamentales:
Así mismo, existen unos principios fundamentales que ha de contemplar cualquier Sistema de Gestión de Datos de Carácter Personal que se verán modificados o ampliados en mayor o menor medida por el RGPD:
- Principio de calidad.
- Principio de información.
- Principio de legitimación del tratamiento de datos.
- Principio de cesión de datos de carácter personal.
- Principio de tratamiento de datos especialmente protegidos.
Ejercicio de Derechos:
De igual manera, el Reglamento Europeo de Protección de Datos regula una serie de novedades respecto al ejercicio de derechos, algunos de nuevo cuño, ampliando y modificando los ya existentes, quedando de la siguiente manera:
- Derecho de acceso.
- Derecho de rectificación.
- Derecho de supresión (el “Derecho al olvido”)
- Derecho a la limitación del tratamiento.
- Derecho a la portabilidad de los datos.
- Derecho de oposición.
- Derecho a no ser objeto de decisiones individualizadas.
Lógicamente estas no son las únicas novedades y requisitos, aunque si las más notables, por lo que en sucesivos artículos iremos desgranado la evolución que representa el RGPD para las organizaciones, las principales obligaciones, así cómo un somero análisis de los aspectos más relevantes.
Fuente | Agencia Española de Protección de Datos.
Si quieres saber más sobre privacidad y ciberseguridad, puedes escucharnos en BITACORA DE CIBERSEGURIDAD, En particular los episodios 3 y 4 sobre LOPD.