Posiblemente desde la aprobación del Reglamento de Protección de Datos en 2007 (RDLOP 1720/2007) no habíamos vivido un periodo tan intenso de novedades normativas con respecto a la privacidad como el que estamos viviendo actualmente. Tras la invalidación del acuerdo de Safe Harbor por parte del Tribunal de Justicia de la Unión Europea (TJUE) en octubre de 2015, llegó la aprobación en Europa del Reglamento General de Protección de Datos en mayo del año pasado. Y ahora, hemos podido ver a la Comisión Europea presentar un borrador para un nuevo Reglamento Europeo de Privacidad Electrónica.
Cuáles son las principales novedades normativas
Estas normativas van a determinar a corto y medio plazo nuestro cumplimiento legal. También legitimarán todas aquellas operaciones que llevemos a cabo en nuestro negocio y que conlleven un tratamiento de datos de carácter personal. A continuación te explicamos las principales novedades.
1) Del Safe Harbor al Privacy Shield
Ya lo comentamos en su momento. Tras la decisión del TJUE de invalidar el acuerdo de Safe Harbor de la Comisión Europea que desde el año 2000 venía legitimando el tratamiento de datos de ciudadanos europeos fuera de las fronteras comunitarias, quedaba un vacío normativo pendiente de ser reconstruido. Bajo este pretexto, la Comisión Europea aprobaba el pasado 12 de julio de 2016 un nuevo acuerdo de puerto seguro denominado Privacy Shield. Este acuerdo sustituía al invalidado acuerdo de Safe Harbor y cumplía con las exigencias de TJUE.
Es por tanto el acuerdo de Privacy Shield el que legitima ahora el cumplimiento en materia de Protección de Datos con respecto a la normativa comunitaria para todos nuestros proveedores estadounidenses (Dropbox, Google Drive, Mailchimp…etc) para la trasferencia transatlántica de datos de carácter personal de ciudadanos europeos. Bastará con comprobar que estos proveedores están oficialmente adheridos y por tanto, cumplen con las normas que marca el acuerdo en materia de privacidad.
2) El nuevo Reglamento General de Protección de Datos Europeo
Publicado en abril de 2016. No entrará en vigor hasta el próximo el 25 de mayo de 2018 y lo hará de forma directa en España. Hasta entonces, las actuales normas españolas de Protección de Datos seguirán siendo plenamente válidas y aplicables. Esto mientras no haya cambios en la normativa nacional que facilite la aplicación de esta norma comunitaria. Se amplía, además, su ámbito de aplicación no sólo a organizaciones establecidas en la Unión Europea, sino a todas las que realicen tratamientos de datos de carácter personal derivados de una oferta de bienes y servicios destinados a ciudadanos europeos.
Se han realizado varios cambios significativos con respecto a la actual normativa de Protección de Datos. Tras estas modificaciones, podemos destacar las siguientes aportaciones:
I. Nuevos derechos para los afectados
A los derechos clásicos de Acceso, Cancelación, Rectificación y Oposición, se añaden ahora:
- El derecho al olvido. El derecho de los ciudadanos a solicitar que sus datos sean suprimidos de directorios como buscadores de Internet. La solicitud se puede realizar cuando la información que ofrecen resulta obsoleta, falsa, irrelevante o no sean de interés público.
- El derecho a la portabilidad. Implica que el afectado pueda solicitar datos que tiene un responsable de forma automatizada para trasladarlos a otro responsable.
II. Mayor prevención en el cumplimiento
Se regulan una serie de medidas a adoptar para reforzar, desde buen principio, una mayor responsabilidad en el cumplimiento:
- Protección de datos desde el diseño y por defecto. Será vital a tener en cuenta, por ejemplo, en el desarrollo de nuevas aplicaciones desde cero.
- Nombrar un Delegado de Protección de Datos (DPD). Lo tendrán que hacer aquellas organizaciones que hagan un tratamiento de datos personales a gran escala o de forma masiva. Este delegado podrá estar en plantilla o ser un profesional ajeno.
- Realizar evaluaciones de impacto. El objetivo es evaluar posibles riesgos e impactos en el diseño o en el lanzamiento de un determinado producto, en una operación o en el cambio de estrategia de negocio de una compañía.
- Notificar las violaciones de seguridad de los datos. Ya no bastará únicamente con recogerlas en un registro de incidencias. Se deberá notificar a las autoridades de control y a las personas que se hayan visto afectadas.
III. Nueva forma de obtener el consentimiento e informar en los avisos legales
El RGPD trae consigo la necesidad de revisar las actuales cláusulas de protección de datos y por tanto las Políticas de Privacidad. El objetivo es aportar toda una serie de información adicional que hasta ahora no era necesario. También busca obtener el consentimiento que dejará de recabarse de forma tácita como en muchas ocasiones hasta ahora. Así será necesario a partir de ahora añadir aspectos como la base jurídica que legitima el tratamiento que se pretende o información detallada de la procedencia de los datos de los cuales se solicita un consentimiento. Todo ello en un lenguaje claro y recogiendo el consentimiento de acuerdo a las prácticas que se consideren adecuadas a este nueva norma.
3) El borrador de Reglamento Europeo de Privacidad Electrónica
Para armonizar el cumplimiento del Reglamento General de Protección de Datos (RGPD), la Comisión Europea presentó a principios de enero un borrador de Reglamento de Privacidad Electrónica. Se espera que entre en vigor en mayo del próximo año junto al RGPD.
Este Reglamento regulará las comunicaciones electrónicas y otras acciones comerciales como las llamadas publicitarias, en base a nuevos criterios de privacidad alineados con el RGPD. A la espera del texto definitivo, podemos destacar algunas de las principales novedades de este reglamento:
- Confidencialidad en las comunicaciones. Garantizar la confidencialidad de los mensajes en línea, no sólo a los operadores de telecomunicaciones, sino también a los proveedores de servicios (WhatsApp, Facebook Messenger, Skype…etc).
- Cookies. Se pone un poco de sentido común al exceso de solicitudes de consentimiento que todos estamos acostumbrados a recibir cuando navegamos por Internet. Mayor control y facilidad a la hora de aceptar o rechazar la instalación de estos archivos mediante un mejor gestión de nuestros navegadores. No será necesario obtener el consentimiento para cookies que sólo pretenden mejorar la experiencia sin invadir nuestra privacidad (por ejemplo recordar historiales de compra o recontar el número de visitas).
- Correo no consentido (Spam). Se extiende la prohibición de las comunicaciones electrónicas comerciales no consentidas. Además de al e-mail y a los mensajes de texto, ahora a las llamadas telefónicas.
- Bloqueo de anuncios. El prestador del servicio de un sitio web podrá averiguar si el usuario está utilizando un bloqueador de publicidad. Esto le permitirá hacer una gestión individualizada de la publicidad con cada usuario.
Sin duda, una serie de cambios normativos de calado que requerirán una revisión en profundidad de los procesos implantados hasta ahora y una nueva adecuación para garantizar mayor proactividad en el cumplimiento.
¿Tienes dudas? Contacta con nosotros a través del mail [email protected].
- Finaliza el plazo para la implementación en materia de cookies
- Actualizaciones a tener en cuenta en materia de protección de datos y consumo
- Ley de Protección de Datos en Andorra: Novedades y cambios clave en la normativa
- Principales novedades en materia Laboral del Real Decreto 9/2020, de 28 de Marzo