La nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD) entró en vigencia el 25 de mayo de 2018, mediante esta Ley se supone una adaptación del respectivo Reglamento Europeo de Protección de Datos, en donde se incorporan nuevas estrategias entre las cuales destacan la introducción de un nuevo título que va dedicado exclusivamente a los derechos digitales como son el Internet, la educación digital o el derecho a la seguridad de las comunicaciones, además, de otros aspectos.
¿De qué se trata el Reglamento General de Protección de Datos (RGPD)?
El Reglamento General de Protección de Datos (RGPD) es una legislación vigente que está basada en todo lo relacionado en temas de protección de datos a nivel europeo y que deben llevarse a cabo desde el 25 de mayo de 2018. A partir de esta fecha, deroga la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995.
Esta Directiva fue adaptada por la Ley Orgánica 15/1999, de 13 de diciembre, en España, sobre la Protección de Datos de Carácter Personal (LOPD) y, luego por el Real decreto 1720/2007, de 21 de diciembre, en donde se desarrollaron mandatos adicionales para concretar algunos de sus principios.
Se consideran Datos Personales, a toda aquella información que se presenta en texto, imagen o audio, por medio de la cual se permita la identificación de una persona. Dentro de este contexto, existen datos que son considerados como datos de poco riesgo, como son el nombre o el correo electrónico, pero también existen datos que son más vulnerables a ser extraídos y que son considerados de riesgo más elevados, como es el caso de los relacionados con la religión o la salud personal.
No se tratan como datos personales, aquellos datos que no permitan identificar a una persona, tales son los casos como, manuales de maquinaria, previsiones meteorológicas o aquellos datos que han pasado a ser anónimos, y que están relacionados con un individuo. En estos casos mencionados, se cumple el Reglamento de Libre Circulación correspondientes a datos no personales.
¿Cuáles son los objetivos principales del Reglamento General de Protección de Datos?
La nueva Ley de Protección de Datos y Garantía de los Derechos Digitales tiene con función principal hacer que las empresas y organizaciones se comprometan a tener un mejor tratamiento de los datos y archivos personales que manejen. De esta manera el objetivo de esta Ley se enfoca en establecer mejoras acerca del nivel de protección de datos para todas las personas físicas. Enfocados es este objetivo primordial, la Ley hace especial referencia en los siguientes aspectos:
- Dar información acerca de lo que ocurre con los datos personales una vez que se comparten.
- Facilitar la comprensión de las políticas de privacidad haciendo uso de iconos normalizados que sean fáciles de entender y que generen un lenguaje claro y preciso.
- Realizar nuevas formulaciones que se adapten a los diferentes derechos para mejorar su acceso, sobretodo cuando se trata de personas menores.
- Aumentar los derechos que se establezcan sobre los datos personales incluyendo el de portabilidad entre proveedores de servicio.
- Resguardar y respaldar el procedimiento realizado con fines de archivo para su posterior investigación o interés desde el punto de vista estadístico.
¿Qué cambia con la nueva normativa del Reglamento General de Protección de Datos?
Con la nueva normativa del Reglamento General de Protección de Datos se introducen nuevas especificaciones en las cuales se establecen nuevas obligaciones con respecto a reducir el riesgo que comprende la divulgación de los datos personales, siendo esta nueva normativa un poco más estricta y generando multas a los que violen lo establecido, estas multas están previstas por el RGPD. Las personas interesadas tendrán la oportunidad de reclamar ante las autoridades correspondientes encargadas del control cuando no se cumplan estas normas de protección de datos, tomando en cuenta lo expuesto, la infracción según la LOPDGDD y RGPD administrativas pueden alcanzar entre los 10 y 20 millones de euros, lo que es equivalente al 2 y el 4% del volumen del negocio anual global. Dependiendo de la infracción cometida, estas se clasifican en muy graves, graves y leves.
A continuación, se mostrarán las sanciones que deben enfrentar los responsables según las clasificadas en el párrafo anterior:
1) Muy graves: son aquellas que prescriben a los tres años y, se dan cuando:
- Se usan los datos para un fin diferente al acordado.
- Se presente omisión del deber de informar al afectado.
- Se exija una cancelación para acceder a los datos que son propios.
- Exista una transferencia internacional de la información sin garantía alguna.
2) Graves: son las que prescriben a los dos años y, se dan cuando:
- Se usan datos de un menor sin el consentimiento.
- Falta de adopción de medidas técnicas y organizativas para proteger de forma adecuada los datos.
- Se incumple el deber de asignar a un responsable o encargado para proteger los datos.
3) Leves: son aquellas que prescriben en un año y, se dan cuando:
- No se tiene transparencia de la información.
- Exista el incumplimiento de no avisar al afectado cuando lo haya solicitado.
- Exista incumplimiento por parte de la persona encargada de realizar sus obligaciones de proteger los datos.
Las entidades y organizaciones de protección de datos también podrán interponer un recurso en determinadas circunstancias presentadas.
¿Cuáles son los nuevos derechos que incluye el Reglamento General de Protección de Datos (RGPD)?
Esta nueva Ley de Protección de Datos ha incluido una ampliación directa de factores y derechos básicos expuestos en la Directiva 95/96/CE que específica aspectos como: acceso, rectificación, cancelación y oposición, en los cuales se deben tomar en cuenta los siguientes puntos:
- El derecho a la supresión o al olvido: es cuando se hayan recabado datos que se utilicen en un fin no autorizado, que se traten de forma ilícita o que se retiren sin el pleno consentimiento. Se debe tratar de tal forma que se deben suprimir los enlaces, las copias o las réplicas de dichos datos.
- El derecho a la limitación del tratamiento: este derecho puede ser solicitado cuando se traten ilícitamente o ya no sean necesarios, para ello se debe argumentar de forma clara en el sistema como tratamiento limitado.
- El derecho a la portabilidad de los datos: es un archivo que se puede solicitar con determinado formato para transmitirloa otra empresa o país.
- El derecho de ser informado sobre posibles violaciones en los respectivos datos personales, con un transcurso de tiempo máximo de 72 horas, después de haber comprobado el problema de seguridad que se haya producido.
- El consentimiento: mediante el cual el nuevo reglamento establece que debe darse de forma inequívoca, informada y explicita por la parte interesada con respecto a cada una de las actividades de tratamiento. Si el caso, es más de una finalidad para los datos, se deberá realizar una solicitud para cada uno de ellos.
La Ley de Protección de Datos, también es clara cuando establece que no son válidas declaraciones tácitas, es decir, que el interesado debe realizar una acción realmente afirmativa para dar su pleno consentimiento. No obstante, también es posible que el interesado o solicitante pueda retirar su consentimiento en cualquier instante y hacerlo de la misma forma como lo declaró.
¿Cuáles son los cargos internos de Reglamento General de Protección de Datos?
Dentro de Reglamento General de Protección de Datos se encuentran encargados que figuran de forma interna para proteger los datos, entre los cuales se pueden mencionar:
- El encargado del tratamiento, es aquella persona que se dedica a poner en práctica todas las medidas de seguridad con la finalidad de limitar el acceso a los datos, para que sean usados únicamente a los fines que se han requerido, haciendo velar de esta manera la confidencialidad.
- Las autoridades públicas y determinadas empresas, que deben contar con la presencia de un delegado encargado de la protección de los datos, para de esta forma garantizar el cumplimiento de la normativa establecida.
- En los casos expuestos, se otorgará un código de conducta o en su defecto un mecanismo de certificación en donde se podrá demostrar que se cumplen las obligaciones y, que además, están en la disposición de cooperar con las autoridades de control, facilitándoles en los momentos oportunos los registros, en caso de que se le sean solicitados.
- Todos los organismos públicos, universidades, colegios profesionales, aseguradoras, y otros entes similares, tienen la obligación de designar un delegado que cumpla con las funciones de protección de datos, quien será la persona responsable de encargarse de informar, asesorar y supervisar al encargado y al responsable para que cumpla con el reglamento.
