La AEPD ha publicado recientemente la Guía para Responsables de Tratamiento , un documento importante y que aclara muchas de los interrogantes que se nos plantean con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el pasado mes de mayo.

1. ¿CUÁNDO EMPEZAR LA ADAPTACIÓN?

Aunque el RGPD será aplicable a partir de mayo de 2018, en el periodo de transición es imprescindible preparar y adoptar las medidas necesarias para asegurar el cumplimiento de las previsiones de la nueva normativa en el momento en que sea de aplicación.

En este sentido, muchas de las recomendaciones o interpretaciones que ofrece la AEPD pueden ponerse en práctica de inmediato porque tienen que ver con actuaciones que debieran iniciarse ya durante el periodo de transición entre la entrada en vigor y el inicio de la aplicación del RGPD.

El RGPD incorpora dos claves que sirven de base de muchas de las novedades:

• Principio de responsabilidad proactiva

Se exige una actitud consciente, diligente y proactiva por parte de las empresas, que deberán analizar todos los tratamientos de datos personales que llevan a cabo para determinar la forma en que aplicarán las medidas que el RGPD prevé. Será importante asegurarse de que son las medidas adecuadas y que así puede demostrarse ante los interesados y autoridades de supervisión.

• El enfoque de riesgo

Será imprescindible realizar un análisis de los riesgos particulares de cada empresa. La aplicación del RGPD dependerá de las características de cada empresa, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.

2. BASE DE LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS

Es imprescindible documentar e identificar claramente la base legal sobre la que se desarrollan los tratamientos, para lo cual será necesario:

• Incluir la base legal sobre la que se desarrolla el tratamiento en el momento de recoger los datos de los interesados.

• Especificar y documentar los intereses legítimos en que se fundamentan las operaciones de tratamiento en casos como las Evaluaciones de Impacto sobre la Protección de Datos o en determinadas transferencias internacionales.

Una de las novedades más destacadas, se exige que el consentimiento sea “inequívoco”, esto es, aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. No se admitirán formas de consentimiento tácito o por omisión, ya que se basan en la inacción.

Adicionalmente, el consentimiento, además de inequívoco, deberá ser explícito en el caso de:

• Tratamiento de datos sensibles
• Adopción de decisiones automatizadas
• Transferencias internacionales

En estos casos no cabrá deducir el consentimiento de una acción del interesado, sino que deberá ser explícito.

Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que se hayan prestado mediante una manifestación o acción afirmativa. En sentido contrario, tras la aplicación del RGPD ya no serán válidos los consentimientos obtenidos de forma tácita.

Es recomendable no seguir obteniendo consentimientos por omisión y revisar esos tratamientos para que se adecuen a las previsiones del RGPD.

3. TRANSPARENCIA E INFORMACIÓN A LOS INTERESADOS

Toda la información que se facilite a los interesados deberá ser concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Además, esta información deberá proporcionarse en modo expreso, preciso e inequívoco como indica ya la LOPD.

La información deberá facilitarse por escrito, incluidos los medios electrónicos cuando sea apropiado.

El RGPD amplía el contenido de la información que debe proporcionarse, incluyendo:

• Base jurídica del tratamiento
• Intención de realizar transferencias internacionales
• Datos del Delegado de Protección de Datos (Data Protection Officer, “DPO”).
• Elaboración de perfiles

4. NUEVOS DERECHOS DE LOS INTERESADOS

Los responsables de tratamiento, deberán facilitar a los interesados el ejercicio de sus derechos, y los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos.

Además, se requiere que los responsables posibiliten la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por estos medios.

El ejercicio será gratuito para el interesado (excepto en circunstancias tasadas, como solicitudes repetitivas, excesivas, o infundadas cuando así lo demuestre el responsable.)

Será necesario articular procedimientos que permitan fácilmente acreditar a los interesados que han ejercido sus derechos por medios electrónicos.

Deberá informarse al interesado que haya hecho uso de sus derechos en el plazo de 1 mes (aunque sea para informar de la negativa de atender la solicitud).

• Derecho de Acceso

El derecho de acceso es uno de los tradicionalmente reconocidos, pero, como novedad, se establece que interesado tiene derecho a obtener una copia de los datos personales objeto del tratamiento.

La AEPD interpreta que se cumplirá con este derecho facilitando el acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales.

• Derecho al olvido

El derecho al olvido no es un derecho separado de los derechos ARCO, sino la consecuencia del ejercicio de los derechos de cancelación u oposición en el entorno online, que dará lugar al borrado de los datos personales.

Los responsables que hayan hecho públicos los datos personales deberán adoptar medidas técnicas para informar a otros responsables de la solicitud del interesado de borrar sus datos.

• Limitación del tratamiento

Los interesados podrán solicitar que no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían (como, por ejemplo, el borrado de datos).

Se fijan situaciones tasadas en las que el interesado puede solicitar la limitación:

• Cuando ha ejercido los derechos de rectificación u oposición y el responsable está en proceso de determinar si procede atender a la solicitud.
• El tratamiento es ilícito pero el interesado se opone al borrado.
• Los datos ya no son necesarios para el tratamiento, pero el interesado los necesita para la formulación, el ejercicio o la defensa de reclamaciones.

A través del reconocimiento de este derecho se impide la práctica habitual consistente en borrar los datos cuando se ejercitan otros derechos, como el de acceso, ya que impediría el ejercicio del derecho a la limitación del tratamiento.

• Derecho a la portabilidad

Cuando el interesado ejercite el derecho de acceso deberá proporcionarle copia en un formato estructurado, de uso común y lectura mecánica.

Los datos se transmitirán directamente de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado, si es técnicamente posible.

Este derecho sólo puede ejercerse cuando el tratamiento:

• Sea automatizado.
• Se base en el consentimiento o en un contrato.
• Respecto de los datos proporcionados al responsable y que conciernan al interesado, incluidos los datos derivados de la propia actividad del interesado.

La Guía de la AEPD para el Responsable del Tratamiento incorpora otras recomendaciones e interpretaciones de interés que se pondrán de manifiesto en futuros artículos.

Letslaw es un despacho de abogados especializado en derecho digital y protección de datos.