Entradas

Se aprueban medidas urgentes para cumplir con el RGPD

El RGPD comenzó su andadura el pasado 25 de mayo pero para que se pueda aplicar plenamente, hacen faltan algunas medidas internas.

El lunes 30 de julio y con las maletas a punto para las vacaciones, el Boletín Oficial del Estado ha publicado el Real Decreto-ley 5/2018 de 27 de julio de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, es decir el RPGD.

¿Por qué esto y ahora?

Porque el Reglamento (UE) 2016/679 General de Protección de Datos remite en su articulado a la legislación interna de los estados miembros para determinados aspectos -entre ellos el procedimiento sancionador- y una nueva Ley Orgánica de Protección de Datos (LOPD) recogerá dichos aspectos.

Dicha nueva LOPD está todavía en el horno. Es decir que debiendo haber estado lista el pasado 25 de mayo (ya sabíamos que no llegaba a tiempo) se la espera al menos, para finales de año. Pero mientras tanto la vida sigue y, o aplicábamos antigua LOPD en lo no compatible con el RGPD o nos ponían un «parche» hasta la llegada de la tan ansiada nueva LOPD.

Dicho lo cual, el Real Decreto-ley reseñado recoge básicamente lo siguiente:

1.- Quién tiene competencias para inspección en materia de protección de datos
(artículos 1 y 2)

2.- Régimen sancionador en materia de protección de datos
(artículos 3 a 6)

3.- Procedimientos en caso de posible vulneración de la normativa de protección de datos
(artículos 7 a 14)

Establece igualmente una disposiciones finales entre las que destacan la Disposición transitoria segunda sobre los contratos de encargo de tratamiento (sí esos que las empresas están recibiendo de forma constante en las últimas semanas) y confirma lo que ya decía el proyecto de LOPD: RELAX (esto no lo dice pero se deduce). Los contratos de encargo de tratamiento suscritos antes del 25 de mayo de 2018 bajo el antiguo artículo 12 de la antigua LOPD, mantendrán su vigencia hasta su fecha de vencimiento y si es indefinida hasta el 25 de mayo de 2022.

Dicho lo cual, el que no haya adaptado los contratos, tiene tiempo aunque no conviene dormirse. No obstante, ahí queda y sigue diciendo el artículo que durante estos plazos cualquiera de las partes puede exigir a la otra la modificación del contrato para que se adapte al RGPD, contratos que ahora incluyen más garantías para ambas partes.

Algunas reflexiones:

Al referirse al régimen sancionador se dedica un artículo (el 6) a la prescripción de las sanciones y sorprendentemente se mantiene el baremo de multas que se aplicaba bajo la anterior LOPD aunque sin hacer referencia a su grado (leve, grave o muy grave). ¿Qué lectura podemos hacer? Pues que la Agencia Española de Protección de Datos seguirá aplicando criterios sancionadores similares a los que aplicaba hasta la fecha sólo que sin el techo de los anteriores 600.000 euros. Es una reflexión que tal vez se confirme con la nueva LOPD o no.
Mientras tanto, las infracciones «normales» (es decir las que pueden ser sancionadas con hasta 10 millones de euros) prescribirán en dos años. Y las muy graves (hasta 20 millones en tres años.

Las sanciones prescribirán de la siguiente forma:

a) Hasta 40.000 euros, en un año
b) de 40.001 a 300.000 en dos años
c) Más de 300.001, en tres años.

Ya tenemos procedimiento sancionador para ir tirando con los nuevos procedimientos que se pongan en marcha. La seguridad jurídica es importante.

Necesitamos la nueva LOPD para otras cuestiones para dejar el menor espacio a las interpretaciones sobre la vigencia de la ya obsoleta LOPD anterior.

Superado el «trauma» del 25 de mayo, todos empezamos el rodaje del RGPD. Las empresas empiezan a entender cuáles son sus obligaciones más importantes. Lo importante, que no se nos olvide: proteger los derechos de las personas y el derecho a la privacidad, que hoy en día, es uno de los que más necesitados se encuentra.

Paz Martín
31 de julio de 2018

El Reglamento General de Protección de Datos (RGPD) y los despachos de abogados. 6 de abril. ICAM

LEGAL THINGS ABOGADOS tiene el honor de participar en el evento de APROED (Abogados y ciudadanos pro Estado de Derecho) que tendrá lugar el próximo 6 de abril en el Salón de Actos del Ilustre Coelgio de Abogados de Madrid y que tiene como objetivo abordar las novedades del nuevo Reglamento UE 2016/679 General de Protección de Datos, RGPD en los despachos de abogados. La entrada será gratuita.

Nuestra Directora Paz Martin expondrá los retos a los que se enfrentan los grandes despachos con especial atención en la figura del Delegado de Protección de Datos.

Compartirá mesa con los reputados especialistas D. Carlos Galán y D. Angel Juárez en una jornada de actualidad por la inminencia en la entrada en vigor de la nueva legislación sobre protección de datos.

Abril 2018
#losdetallesimportan

Día Europeo de la Protección de Datos: Quedan 117 días para el RGPD ¿Está preparado para el cambio?

Ahora sí que sí. Este es el año. Y este día nos tiene que servir para reflexionar sobre qué estamos haciendo en nuestras organizaciones para cumplir con la nueva legislación de protección de datos: el nuevo Reglamento UE 2016/679 General de Protección de Datos (RGPD).

Hoy 28 de enero es un día especialmente importante porque en este año asistimos a un cambio normativo sin precedentes en la regulación de la privacidad. Todos, empresas y ciudadanos, debemos conocer su alcance.
La Agencia Española de Protección de Datos ha sido fértil en los últimos meses en la publicación de guías y documentos de ayuda. Con motivo de este día ha preparado, entre otras cosas, una infografía que resume los derechos de los ciudadanos.

Pero ¿y las empresas? ¿saben ya el alcance de las nuevas obligaciones? Recordemos sucintamente algunas de las obligaciones que toda entidad que realice tratamiento debe cumplir:

1.- El registro de actividades de tratamiento: ¿sabemos los datos que tratamos y cómo los tratamos? El RGPD obliga a llevar un registro de actividades de tratamiento con una información mínima.
2.- El cumplimiento del principio de responsabilidad proactiva. Las organizaciones deben ser capaces de demostrar que se preocupan de los datos que tratan. No es suficiente un cumplimiento formal: hay que demostrarlo día a día.
3.- La revisión de los consentimientos y de las cláusulas de información: los consentimientos por silencio o por defecto ya no son válidos. Ahora tienen que ser específicos para finalidades concretas. Además, ahora hay que informar de algunos nuevos aspectos del tratamiento. Esto exige una revisión de las cláusulas de información y de las formas de recogida de los consentimientos.
4.- La revisión de las relaciones y contratos con terceros con acceso a datos. La elección de un encargado de tratamiento es, en sí misma, una responsabilidad pues debe reunir unas condiciones mínimas y recogerlas en un contrato. Más que nunca debe revisarse y actualizarse la relación de encargados de tratamiento de las organizaciones.
5.- La realización de análisis de riesgos. El nuevo RGPD se enfoca sobre la base del riesgo de los tratamientos y si bien y según la propia Agencia Española de Protección de Datos, el 75% de las empresas españolas tienen datos de riesgo bajo, éstas tienen que ser conscientes de cuáles pueden ser sus riesgos a la hora de tratar datos (y por cierto, aquí el tamaño no importa sino la categoría de los datos y sus «circunstancias»).
6.- La creación de procedimientos para la notificación de brechas de seguridad. Si la organización sufre una «brecha de seguridad» habrá que notificarla a la Agencia Española de Protección de Datos a las 72 horas de haber tenido conocimiento. Esto exige crear un procedimiento de detección e identificación de las incidencias así como su gestión y comunicación y por supuesto, subsanación.
7.- La satisfacción de los nuevos derechos: limitación y portabilidad (además de los ya existentes). Nuevos derechos cuya petición debe atenderse. ¿Saben las empresas cómo? Tendrán que tenerlo previsto.
8.- La designación de un Delegado de Protección de Datos en los casos que establece el RGPD. No en todos los casos pero sí habrá organizaciones que lo necesiten y a ser posible acreditado.

¿Están las empresas grandes y pequeñas preparadas? Parece que no. Y quedan cuatro meses escasos…

Aunque suene a tópico las multas son muy elevadas (20 millones de euros o el 4% de la facturación mundial en los casos más graves). La propia Agencia Española de Protección de Datos ha afirmado que las nuevas exigencias se «aplicarán con flexibilidad pero con rigor» y es que el 25 de mayo está a la vuelta de la esquina. Ojo, no se trata de «empezar» el 25 de mayo sino que en esa fecha ya se debería estar cumpliendo… No hay régimen transitorio pues desde que se publicó el RGPD (en 2016) hemos tenido dos años para concienciarnos, sensibilizarnos y preparar nuestras organizaciones.

Ya no hay excusas: si hasta ahora en su organización no se ha afrontado el cambio, es necesario abordarlo. Recordemos que el derecho a la privacidad es un derecho fundamental y si cada de uno de nosotros reflexiona a título personal coincidiremos que en estos tiempos que corren agradeceremos que nuestros datos estén un poco más seguros.

Paz Martín

Legal Things Abogados

28 de enero de 2018

Día Europeo de la Protección de Datos

Comienza la cuenta atrás: Aprobado el Proyecto de nueva Ley Orgánica de Protección de Datos de carácter personal

El pasado viernes 10 de noviembre el Consejo de Ministros aprobó la remisión a las Cortes Generales el Proyecto de Ley Orgáncica de Protección de Datos (LOPD), el nuevo texto que sustituirá a la actual LOPD.

El propósito de este proyecto es adaptar la legislación española a las exigencias del Reglamento UE 2016/679 General de Protección de Datos, reglamento que como sabemos entrará en pleno funcionamiento el próximo 25 de mayo de 2018.

Destacamos a continuación algunas novedades significativas en el entendimiento de que esta Ley Orgánica no podrá legislar contraviniendo lo ya regulado en el Reglamento aunque sí matizar algunos aspectos. Recordemos igualmente que los reglamentos comunitarios no precisan de trasposición, por lo que esta nueva LOPD contemplará aspectos que el Reglamento no deja desarrollados o remite a la regulación de los estados miembros.

La mayoría de edad para los datos personales

Se adelanta la edad de consentimiento para el tratamiento de datos a 13 años. Un menor de 13 años podrá facilitar sus datos personales por sí mismo y sin el consentimiento de sus padres o tutores (actualmente la edad es de 14 años).

Tratamiento de datos de las personas fallecidas

Se toma en cuenta especialmente en lo que se refiere a la solicitud de los herederos (pensemos en las nuevas realidades de las redes sociales y la posible cancelación de los datos ejercitada lógicamente por los herederos de las personas fallecidas).

Consentimientos

Siendo este uno de los temas críticos del nuevo RGPD, se contempla igualmente en el proyecto eliminándose el consentimiento tácito y por silencio para dar paso a la acción afirmativa y expresa. Se acabó el «acepto» para múltiples finalidades o el «si no nos dice lo contrario»…

Principio de transparencia

Otro principio acuñado por el RGPD y que se traduce en el derecho de los afectados (los titulares de los datos) a ser informados sobre los tratamientos de una forma clara y sobre más aspectos de los que hasta ahora contemplaba el artículo 5 de la LOPD, además de contemplar los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición.

Categorías especiales de datos

Se mantiene la prohibición de almacenar datos de ideología, religión, afiliación sindical, religición, orientación sexcual, origen racial o étnico y creencias. No basta con el consentimiento para el tratamiento de estos datos

Interés legítimo

El tratamiento de datos será lícito si se basa en el consentimiento, en una norma con rango de ley pero también en el interés legítimo de quien trata los datos (en determinadas cuestiones). La nueva LOPD contemplará situaciones en las que prevalece el interés legítimo del responsable del tratamiento como en los sistemas de intervención crediticia y probablemente alineado con el reciente pronunciamiento de la Agencia Española de Protección de Datos a través del Informe 0195/2017 del Gabinete Jurídico aclarando precisamente este aspecto.

El Delegado de Protección de Datos

La nueva LOPD recogerá obligaciones de esta nueva figura así como un catálogo no exhaustivo de responsables de tratamiento que estarán obligados a designar esta figura.

Otras cuestiones

Mecanismos de autorregulaciónnuevos derechos (limitación y portabilidad), la posibilidad de que los canales internos de denuncias puedan ser anónimos, coordinación con otras autoridades tanto autonómicas como de otros estados miembros a través de procedimientos de cooperación, serán algunas cuestiones que abordarán el nuevo texto.

Se nos plantean algunas incógnitas una vez el proyecto avance en sede parlamentaria ante el actual panorama político y la particular configuración parlamentaria. Recordemos que el derecho a la protección de datos es un derecho fundamental, recogido en el artículo 18 de nuestra Constitución y su regulación se hace imprescindible para garantizarlo.

Seguiremos informando pero desde luego es hora, si no lo han hecho ya, de ponerse manos a la obra para adaptarse a la nueva legislación pues la nueva LOPD no va a ampliar el Reglamento europeo sino en todo caso lo va a matizar. Esperar a su aprobación sería una temeridad para las organizaciones pues un cambio legislativo como al que nos enfrentamos no se aborda de un día para otro.

La idea es que la nueva Ley Orgánica de Protección de Datos de Carácter Personal entre en vigor a la vez que el nuevo Reglamento…

Es hora de reflexionar sobre lo que se está haciendo, cómo se tratan los datos, qué novedades nos exige el RGPD y empezar a hacer los cambios para que el 25 de mayo de 2018 estemos tranquilos.

Paz Martin