Novedades RGPD; Recomendaciones para los responsables de tratamiento

Por Letslaw, despacho de abogados especializado en derecho digital y protección de datos

Actualidad

21 febrero, 2017

La AEPD ha publicado recientemente la Guía para Responsables de Tratamiento , un documento importante y que aclara muchas de los interrogantes que se nos plantean con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el pasado mes de mayo.

  1. ¿CUÁNDO EMPEZAR LA ADAPTACIÓN?

Aunque el RGPD será aplicable a partir de mayo de 2018, en el periodo de transición es imprescindible preparar y adoptar las medidas necesarias para asegurar el cumplimiento de las previsiones de la nueva normativa en el momento en que sea de aplicación.

En este sentido, muchas de las recomendaciones o interpretaciones que ofrece la AEPD pueden ponerse en práctica de inmediato porque tienen que ver con actuaciones que debieran iniciarse ya durante el periodo de transición entre la entrada en vigor y el inicio de la aplicación del RGPD.

El RGPD incorpora dos claves que sirven de base de muchas de las novedades:

  • Principio de responsabilidad proactiva

Se exige una actitud consciente, diligente y proactiva por parte de las empresas, que deberán analizar todos los tratamientos de datos personales que llevan a cabo para determinar la forma en que aplicarán las medidas que el RGPD prevé. Será importante asegurarse de que son las medidas adecuadas y que así puede demostrarse ante los interesados y autoridades de supervisión.

  • El enfoque de riesgo

Será imprescindible realizar un análisis de los riesgos particulares de cada empresa. La aplicación del RGPD dependerá de las características de cada empresa, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.

  1. BASE DE LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS

Es imprescindible documentar e identificar claramente la base legal sobre la que se desarrollan los tratamientos, para lo cual será necesario:

  • Incluir la base legal sobre la que se desarrolla el tratamiento en el momento de recoger los datos de los interesados.
  • Especificar y documentar los intereses legítimos en que se fundamentan las operaciones de tratamiento en casos como las Evaluaciones de Impacto sobre la Protección de Datos o en determinadas transferencias internacionales.

Una de las novedades más destacadas, se exige que el consentimiento sea “inequívoco”, esto es, aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. No se admitirán formas de consentimiento tácito o por omisión, ya que se basan en la inacción.

Adicionalmente, el consentimiento, además de inequívoco, deberá ser explícito en el caso de:

  • Tratamiento de datos sensibles
  • Adopción de decisiones automatizadas
  • Transferencias internacionales

En estos casos no cabrá deducir el consentimiento de una acción del interesado, sino que deberá ser explícito.

Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que se hayan prestado mediante una manifestación o acción afirmativa. En sentido contrario, tras la aplicación del RGPD ya no serán válidos los consentimientos obtenidos de forma tácita.

Es recomendable no seguir obteniendo consentimientos por omisión y revisar esos tratamientos para que se adecuen a las previsiones del RGPD.

  1. TRANSPARENCIA E INFORMACIÓN A LOS INTERESADOS

Toda la información que se facilite a los interesados deberá ser concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Además, esta información deberá proporcionarse en modo expreso, preciso e inequívoco como indica ya la LOPD.

La información deberá facilitarse por escrito, incluidos los medios electrónicos cuando sea apropiado.

El RGPD amplía el contenido de la información que debe proporcionarse, incluyendo:

  • Base jurídica del tratamiento
  • Intención de realizar transferencias internacionales
  • Datos del Delegado de Protección de Datos (Data Protection Officer, “DPO”).
  • Elaboración de perfiles
  1. NUEVOS DERECHOS DE LOS INTERESADOS

Los responsables de tratamiento, deberán facilitar a los interesados el ejercicio de sus derechos, y los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos.

Además, se requiere que los responsables posibiliten la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por estos medios.

El ejercicio será gratuito para el interesado (excepto en circunstancias tasadas, como solicitudes repetitivas, excesivas, o infundadas cuando así lo demuestre el responsable.)

Será necesario articular procedimientos que permitan fácilmente acreditar a los interesados que han ejercido sus derechos por medios electrónicos.

Deberá informarse al interesado que haya hecho uso de sus derechos en el plazo de 1 mes (aunque sea para informar de la negativa de atender la solicitud).

  • Derecho de Acceso

El derecho de acceso es uno de los tradicionalmente reconocidos, pero, como novedad, se establece que interesado tiene derecho a obtener una copia de los datos personales objeto del tratamiento.

La AEPD interpreta que se cumplirá con este derecho facilitando el acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales.

  • Derecho al olvido

 

El derecho al olvido no es un derecho separado de los derechos ARCO, sino la consecuencia del ejercicio de los derechos de cancelación u oposición en el entorno online, que dará lugar al borrado de los datos personales.

Los responsables que hayan hecho públicos los datos personales deberán adoptar medidas técnicas para informar a otros responsables de la solicitud del interesado de borrar sus datos.

  • Limitación del tratamiento

Los interesados podrán solicitar que no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían (como, por ejemplo, el borrado de datos).

Se fijan situaciones tasadas en las que el interesado puede solicitar la limitación:

  • Cuando ha ejercido los derechos de rectificación u oposición y el responsable está en proceso de determinar si procede atender a la solicitud.
  • El tratamiento es ilícito pero el interesado se opone al borrado.
  • Los datos ya no son necesarios para el tratamiento, pero el interesado los necesita para la formulación, el ejercicio o la defensa de reclamaciones.

A través del reconocimiento de este derecho se impide la práctica habitual consistente en borrar los datos cuando se ejercitan otros derechos, como el de acceso, ya que impediría el ejercicio del derecho a la limitación del tratamiento.

  • Derecho a la portabilidad

Cuando el interesado ejercite el derecho de acceso deberá proporcionarle copia en un formato estructurado, de uso común y lectura mecánica.

Los datos se transmitirán directamente de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado, si es técnicamente posible.

Este derecho sólo puede ejercerse cuando el tratamiento:

  • Sea automatizado.
  • Se base en el consentimiento o en un contrato.
  • Respecto de los datos proporcionados al responsable y que conciernan al interesado, incluidos los datos derivados de la propia actividad del interesado.

La Guía de la AEPD para el Responsable del Tratamiento incorpora otras recomendaciones e interpretaciones de interés que se pondrán de manifiesto en futuros artículos.

Letslaw es un despacho de abogados especializado en derecho digital y protección de datos.

Impacto

¿Qué te pareció este artículo?

No hay valoraciones
Cargando…
  • 31
  • 0

Recomendar

Recomendar

Si te pareció interesante este artículo, sé el primero en recomendarlo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Relacionados

Retos del nuevo Reglamento Genera de Protección de Datos para el eCommerce

Que el nuevo Reglamento General de Protección de Datos de la Unión Europea (RGPD), va a...

  • 28 noviembre, 2016
  • No hay comentarios

La Campaña de Navidad en Ecommerce: LetsLaw

El pasado miércoles pudimos debatir en una nueva edición de...

  • 26 octubre, 2016
  • No hay comentarios

Suscribete

Toda la actualidad del ecommerce en tu e-mail

Patrocinado por: Patrocinador

Amazon creará más de 500 puestos de trabajo en España este 2017

El e-commerce transfronterizo: el comercio de las especias del siglo XXI

Novedades RGPD; Recomendaciones para los responsables de tratamiento

IBM y Visa convierten coches, electrodomésticos y todo tipo de dispositivos conectados en potenciales puntos de venta con Watson Internet of Things

El cambio que el eCommerce está viviendo y que afecta a todos los sectores

¿Cuál es perfil del internauta en España?

España en el número 18 de los países de la UE que más compran por internet

El e-commerce transfronterizo: el comercio de las especias del siglo XXI

EDUCATEME, o cómo hacer que el atasco de 2016 no se repita

¿Qué le falta a Amazon para controlar la cadena de suministro completa?

Optimizar el modelo de negocio para fidelizar clientes

5 tendencias del sector fintech y de pagos para 2017

8 Tendencias de los datos y la tecnología para 2017

La necesidad de incluir una quinta P en el marketing mix

La estrategia omnicanal de PANGEA The Travel Store (Vídeo)

‘Punto Vibbo’, el nuevo pop up store de Schibsted Spain (Vídeo)

Las mujeres CEO ya representan el 12% en el sector ecommerce gracias a las políticas de conciliación

Mobile Commerce Congress: Cómo NH Hotel Group ha mejorado el acceso y rendimiento de su entorno Web gracias a Akamai (Vídeo)

La financiación Omnichannel a través de los mobile payments (Vídeo)

Experiencia de usuario en ecommerce: el caso de Weimei

Spring apuesta por el mobile y acude como patrocinador al Mobile Commerce Congress

Más leídas

Último número

Optimization WordPress Plugins & Solutions by W3 EDGE