.jpg)
Gdpr: el Vademécum del bufete de abogados Menichetti.
El nuevo reglamento de la Comunidad Europea sobre el tratamiento de datos personales (General Data Protection Regulation, con las siglas GDPR, reglamento UE 2016/679) entrará en vigor el 25 de mayo de 2018 sin la necesidad de disposiciones nacionales que lo transpongan, y reemplazará el Código de Privacidad (Decreto Legislativo 196/2003) previamente vigente.
PRINCIPIOS GENERALES
Responsabilidad (accountability).
El nuevo reglamento está inspirado en los principios generales del precedente Código de Privacidad (necesidad, legalidad, corrección, adecuación, transparencia y aplicabilidad en el tratamiento de datos personales) pero se basa en particular en el concepto de accountability (traducible como "responsabilidad"), que presupone una cuidadosa evaluación ex ante de los riesgos para la privacidad y la obligación, a quienes utilizan y procesan los datos personales ajenos, de disponer las medidas adecuadas (y no medidas mínimas) que garanticen la seguridad de los datos.
¿Cuáles son las medidas adecuadas y suficientes?
No existe una lista predeterminada y exhaustiva, ni un control oficial y preventivo sobre las medidas tomadas por el propietario de los datos. A este último se le exige, bajo su responsabilidad, decidir por sí mismo qué medidas y recursos son suficientes. Para ello, tendrá que recurrir a profesionales experimentados y contar con el software y la tecnología más modernos, seguros y actualizados. Por lo tanto, tendrá que invertir en innovación sin conformarse con soluciones de bajo coste, adoptando también medidas no obligatorias. Por ejemplo, puede ser útil, como lo sugiere la Autoridad de Privacidad, obtener el Registro de las actividades de tratamiento (del cual se hablará más adelante) incluso si no está obligado, bajo la nueva regulación europea, a poseer este documento.
En el caso de inspecciones, cada empresa debe poder documentar de forma inmediata y clara qué datos personales procesa; el propósito y las modalidades del tratamiento; las medidas de seguridad y los procedimientos de garantía en materia de privacidad; cuáles son las personas que tienen la responsabilidad o el cometido del tratamiento de los datos.
¿Qué es lo que cada empresa debe hacer para cumplir con la nueva legislación?
Para no incurrir en sanciones, toda empresa debe, por lo tanto:
? Analizar cuidadosamente los datos personales procesados.
? Identificar las personas que procesan los datos y recopilar información sobre los métodos concretos de tratamiento.
? Identificar los riesgos de robo o divulgación innecesaria de datos.
? Identificar los daños que los afectados podrían sufrir por el tratamiento y/o pérdida de datos personales.
? Tomar medidas para evitar problemas dañinos, revelaciones robadas y no deseadas.
? Proporcionar procedimientos y formularios relacionados con la informativa, recopilación de consentimiento, revocación de los mismos, cancelaciones y traslado de datos.
? Adaptar las políticas internas a las necesidades de privacidad.
? Reportar por escrito las informaciones, evaluaciones y procedimientos descritos anteriormente.
? Cuando sea necesario según las nuevas disposiciones que se analizarán a continuación, preparar la Privacy Impact Assessment, poseer el registro de tratamiento y designar el Data Protection Officer.
OBLIGACIONES GENERALES
Obligaciones informativas
Los datos personales deben ser procesados lícitamente, correctamente y con transparencia (Artículo 5 del Gdpr). La parte interesada debe ser informada de manera concisa, fácil y comprensible, del tratamiento que está obteniendo.
La informativa debe ser entregada a la parte interesada por escrito o por otros medios (incluidos los electrónicos) y debe contener:
? los propósitos y métodos del tratamiento de datos.
? el carácter obligatorio o facultativo de la prestación de los datos.
? las consecuencias de una eventual negativa a proporcionar los datos.
? los datos identificativos del titular y de las personas responsables.
? las personas a quienes se pueden comunicar los datos personales o que pueden conocerlos.
? el derecho del interesado a acceder a los datos y la posibilidad de solicitar su cancelación.
? el derecho del titular de trasferir los datos a otro gerente o proveedor.
? el período de conservación de los datos.
? el derecho a sugerir quejas relacionadas con la gestión de datos.
El consentimiento de las partes interesadas.
Cuando no es necesario. No se requiere consentimiento cuando el tratamiento de los datos:
? se refiere a un contrato celebrado entre el titular y el interesado;
? es necesario para salvaguardar un interés legítimo del titular o el interés vital del sujeto al que pertenecen los datos;
? se refiere al cumplimiento de una obligación legal de la persona (por ejemplo, contribuciones a la seguridad social o aseguradoras).
Cómo se puede manifestar. En todos los demás casos, el consentimiento de la parte interesada (mayor de 16 años) debe expresarse de manera específica y clara, sea oralmente o con un clic.
El consentimiento se puede siempre revocar.
El titular debe preparar un procedimiento de revocación que no sea más complicado que el relativo a la prestación del consentimiento.
Perfilado y marketing. Las actividades de perfilado del consumidor y más concretamente de marketing, deben estar expresamente autorizadas. Por lo tanto, el consentimiento silencioso no es válido.
Derechos de los interesados.
? Acceso a los datos.
? Oposición a su tratamiento.
? Anulación de los mismos y derecho a ser olvidado.
? Limitaciones en el uso de los datos y la portabilidad de su tratamiento.
SUJETOS QUE PROCESAN DATOS PERSONALES
Todos los sujetos que procesan datos personales (incluso aquellos que no están obligados a nombrar el documento llamado DPO, del cual hablaremos más adelante) deben demostrar que garantizan la privacidad de las partes interesadas antes de que ocurra cualquier evento dañoso. Estos temas son:
? el titular del tratamiento de datos, es decir, quién trata los datos de otros y tiene el poder de decidir sobre su uso.
? el responsable del tratamiento, que debe tener las competencias que garanticen el desempeño adecuado de su función, incluso si no se requiere un grado específico o la inscripción en un registro particular.
? los encargados del tratamiento, es decir, aquellos que procesan los datos sobre la base de las disposiciones del titular de los datos y obedece las directivas específicas del responsable del tratamiento de datos.
El responsable del tratamiento de datos. Realiza operaciones de tratamiento en nombre del titular y sobre la base de las directivas generales de este último (Artículo 28 Gdpr). Viene avalado por las personas encargadas del tratamiento.
Puede ser un trabajador subordinado o una persona que trabaja por cuenta propia, pero debe actuar sobre la base de un contrato específico. Por lo tanto, puede ser un empleado (como regla, un gerente), un profesional o un consultor. Puede ser una persona física o una persona jurídica pero si se trata de una persona jurídica, se debe especificar la persona física de referencia.
En presencia de servicios en la nube, el responsable del tratamiento puede identificarse con el provider.
Sólo puede haber una persona responsable para un grupo de empresas.
El responsable, con la autorización expresa del titular, puede utilizar un subresponsable.
OBLIGACIONES PREVISTAS SOLO PARA DETERMINADOS SUJETOS
Mantenimiento del registro de actividades del tratamiento de datos
En el Registro de actividades del tratamiento de datos (Artículo 30 del Gdpr) se debe informar de todas las medidas tomadas para garantizar la seguridad de los datos personales. Su conservación es obligatoria para todas aquellas empresas con más de 250 empleados o para aquellas que procesen datos personales particulares, incluidas condenas y delitos. La conservación de dicho registro viene por lo tanto recomendada por el Garante de la privacidad a los sujetos que no están obligados a tenerlo para confirmar el cumplimiento de la accountability.
El Registro en cuestión debe indicar:
? las categorías de los datos procesados y la finalidad del tratamiento.
? las medidas de seguridad y métodos de tratamiento de datos.
? el organigrama de la empresa, los nombres de los propietarios, responsables y encargados de los tratamientos, los roles de todos los involucrados en los procedimientos inherentes a la privacidad.
? las relaciones entre las distintas funciones de la empresa.
? los procedimientos de garantía, formularios y recursos relativos a la protección de la privacidad.
DPIA (Data Protection Impact Assessment, Evaluación de impacto del tratamiento)
Es una evaluación profunda, que debe ser realizada y documentada por los sujetos indicados por el Garante de la privacidad, para identificar las medidas técnico-organizativas que deben adoptarse para evitar los riesgos que los interesados puedan sufrir derivados del tratamiento de sus datos (Artículo 35 del Gdpr)
El DPO (Data Protection Officer, Responsable de la Protección de Datos)
Figura prevista por el art. 37 del Reglamento, que debe distinguirse tanto del titular como del controlador.
¿Quién debería nombrarlo? Todos los sujetos públicos y privados cuyas actividades principales consistan en tratamientos que prevean un monitoreo a gran escala de los interesados en cuestión o el uso de datos personales particulares, incluso en relación con delitos o condenas (Artículo 37, párrafo 1, letras. b) y c)).
A modo de ejemplo, puede tratarse de agencias aseguradoras, de crédito y de información crediticia; sociedades financieras, de información comercial, cobro de deudas y auditorías; institutos de vigilancia, sindicatos, partidos políticos, empresas que operen en el campo de las telecomunicaciones y la distribución de energía o gas: empresas que provean trabajo y reclutamiento de personal, hospitales y empresas que operan en el campo sanitario y el diagnóstico, call centers, empresas que presten servicios informáticos y de servicios de televisivos.
¿Quién puede ser DPO? No se requiere un título de estudio particular o una cualificación específica, pero debe ser un sujeto dotado de competencias y habilidades específicas. Si está empleado, se le debe exigir que siga las actividades de formación y actualización adecuadas, cuyo desempeño debe probarse por escrito.
El empleado DPO debe actuar sobre la base de un acto de designación escrito que garantice autonomía e independencia, dotándole de los recursos adecuados (equipo, espacio, personal). También puede ocupar otros cargos, que sin embargo no deben estar en conflicto de intereses con las actividades relacionadas con el rol de DPO.
El DPO también puede ser un consultor externo o una persona jurídica (siempre que se identifique una persona física de referencia). Tendrá que operar sobre la base de un contrato de servicio por escrito que indique tareas y recursos. Solo se puede designar un DPO para un grupo de empresas, con el objetivo de que sea fácilmente accesible desde cada establecimiento y cumpla con su función de garantía y control.
Su nombramiento debe ser comunicado al Garante y sus datos pueden ser divulgados a todas aquellas personas sujetas al tratamiento de datos personales solo si dicha comunicación es considerada necesaria por el titular o por el responsable del tratamiento (la información de contacto de este último debe ser publicada)
VIOLACIONES Y SANCIONES
En caso de violación de datos sensibles.
En el caso de violaciones de datos que puedan poner en peligro la libertad y los derechos de los sujetos involucrados, debe ser - inmediatamente y dentro de las 72 horas - notificado al garante de privacidad.
Sanciones y compensaciones.
Están previstas sanciones pecuniarias administrativas, que pueden ascender a un máximo de 20 millones de euros (o el 4% de la facturación anual si es superior). El alcance de las sanciones que se aplicarán de manera concreta en relación con las diversas infracciones posibles debe establecerse mediante disposiciones legales específicas de los distintos Estados miembros, teniendo en cuenta el tipo de datos en cuestión, la gravedad de la infracción, el daño causado a los interesados, así como el elemento psicológico de la infracción y de las eventuales recaídas.
Los poderes del Garante de privacidad siguen siendo válidos: verificación, control, recomendación y prohibición de tratamientos ilegales.
(LC)
