Para facilitar la comprensión y adaptación a la nueva normativa, la AEPD (Agencia Española de Protección de Datos) ha elaborado un documento de preguntas y respuestas para ayudar a los ciudadanos y a las organizaciones en su adaptación a estos cambios.
- ¿La entrada en vigor del Reglamento supone que ya no se aplica la Ley Orgánica de Protección de Datos española?
No. El Reglamento entró en vigor el 25 de mayo de 2016, aunque no comenzará a aplicarse hasta dos años después, concretamente, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables.
- ¿Cuál es, entonces, el significado de que el Reglamento haya entrado en vigor?
El periodo de dos años hasta la aplicación del Reglamento tiene como objetivo permitir que los Estados de la Unión Europea, las instituciones europeas y también las organizaciones que tratan datos de carácter personal vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.
En esos dos años, por ejemplo, los Estados miembros pueden adoptar o iniciar la elaboración de determinadas normas que sean necesarias para permitir o facilitar la aplicación del Reglamento. Esas normas no pueden ser contrarias a las disposiciones de la vigente Directiva ni tampoco ir más allá de los poderes de actuación normativa que el propio Reglamento prevé de forma explícita o implícita.
- ¿A qué empresas u organizaciones se aplica?
El Reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, ampliándose a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la UE o como consecuencia de una monitorización y seguimiento de su comportamiento.
Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la UE, que actuará como punto de contacto de las autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la UE deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.
- ¿En qué consiste la ventanilla única?
El RGDP establece los siguientes principios:
- Principio de licitud, lealtad y transparencia: datos tratados de manera lícita, leal y transparente.
- Principio de limitación de la finalidad: datos tratados con fines determinados, explícitos y legítimos y no incompatibles con tales fines.
- Principio de minimización de datos: datos adecuados, pertinentes y limitados.
- Principio de exactitud: datos exactos y, si fuera necesario, actualizados.
- Principio de plazo de limitación del plazo de conservación: datos mantenidos que permitan la identificación de los interesados durante no más tiempo del necesario.
- Principio de integridad y confidencialidad: datos tratados garantizando una seguridad adecuada. El deber de confidencialidad es complementario al de derecho profesional y se mantendrán tras la finalización de la relación con el responsable del tratamiento.
- Principio de responsabilidad proactiva: el responsable del tratamiento es el responsable del cumplimiento de la normativa.
- ¿Cómo afecta el RGDP a los derechos ARCO?
Los derechos de acceso, rectificación, cancelación y oposición se mantienen, añadiéndose otros como el de la supresión u olvido, limitación del tratamiento y portabilidad de los datos.
- ¿Es necesario el consentimiento expreso?
Sí, el RGPD establece que es necesaria una clara acción afirmativa para dar consentimiento de manera inequívoca. En el caso de transferencias internacionales de datos, decisiones automatizas y datos sensibles, ha de manifestarse el consentimiento de forma explícita.
- ¿Qué edad es la mínima para que el tratamiento de datos sea lícito?
La edad mínima para dar consentimiento al tratamiento de datos según el RGPD es de 16 años, aunque los Estados miembros pueden establecer la suya propia como máximo a partir de los 13, que es lo que contempla España en el proyecto de Ley Orgánica pendiente de aprobación. Cuando se trate de menores de 13 años, el tratamiento será lícito si se autoriza por el titular de la patria potestad. El responsable del tratamiento ha de asegurarse la verificación de la edad de los menores o conseguir la autorización de sus padres o tutores.
- ¿Qué datos son de categorías especiales?
El RGPD no permite el tratamiento en general, aunque hay excepciones legales de las siguientes categorías especiales de datos personales:
- Origen étnico o racial.
- Opiniones políticas.
- Convicciones religiosas o filosóficas.
- Afiliación sindical.
- Datos genéticos, biométricos o de salud física o mental.
- Orientación sexual o vida sexual.
- Condenas e infracciones penales.
- ¿En qué consiste el deber de transparencia de la información y comunicación?
El responsable del tratamiento deberá comunicarse con los interesados de forma concisa y transparente y con un lenguaje sencillo y claro. Se deben evitar fórmulas farragosas que dificulten la comprensión.
- ¿Qué relación hay entre el responsable y el encargado de tratamiento?
El responsable del tratamiento tiene la obligación de exigir al encargado del tratamiento que aplique medidas técnicas y organizativas para que se ofrezcan garantías de cumplimiento del RGPD. Ambos deberán acreditar que el tratamiento es conforme al Reglamento y la Ley y ambos serán corresponsables a la hora de determinar responsabilidades en función de las actividades que desarrolle cada uno de ellos.
- ¿Cómo afecta el RGPD a las empresas cuyo tratamiento de datos implica un mayor riesgo para los derechos y libertades de las personas físicas?
Deberán aplicar determinadas medidas obligatorias, como disponer de un Delegado de Protección de Datos (DPO), consultar previamente a la autoridad, realizar una evaluación de impacto, llevar a cabo un registro de actividades de tratamiento, ... .
- ¿Deben registrarse los ficheros en la AEPD?
No, el RGPD no obliga al registro de ficheros de datos personales en la Agencia Española de Protección de Datos. No obstante, las empresas con más de 250 trabajadores, o cuando el tratamiento incluya categorías especiales de datos, deberán llevar un registro de actividades con información similar a la utilizada para el antiguo registro.
- ¿Es necesario tener un documento de seguridad?
No, el RGPD no obliga a disponer de un documento de seguridad, pero pueden seguir aplicándose las mismas medidas si lo recomienda el análisis de riesgo previo.
- ¿Deben revisar las empresas sus avisos de privacidad?
Con carácter general, sí. El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva, y muchas leyes nacionales de trasposición, no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de éstos y que los interesados pueden dirigir sus reclamaciones a las autoridades de protección de datos si creen que hay un problema con la forma en que están manejando sus datos. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presente un lenguaje claro y conciso.