firma-e@firma-e.com   968 93 18 12 Blog

Últimas modificaciones del Reglamento Europeo de Protección de Datos

  • Inicio
  • Blog
  • Últimas modificaciones del Reglamento Europeo de Protección de Datos
Últimas modificaciones del Reglamento Europeo de Protección de Datos

Últimas modificaciones del Reglamento Europeo de Protección de Datos
Por: 23/03/2015 Categoría: Ciberseguridad/GRC

Recogemos hoy en las páginas del blog de Firma-e la última entrada publicada en la web amiga www.privacidadlogica.es, un texto que hace referencia a las últimas modificaciones realizadas en el Reglamento Europeo de Protección de Datos y que detalla y analiza algunos de los aspectos más determinantes del mismo.

Según estas filtraciones nos encontramos con numerosos cambios respecto a la propuesta inicial de Reglamento, algunos siguiendo la línea de lo sugerido por el Parlamento Europeo.

En cualquier caso, mejor reflejar el texto completo para un mejor análisis y estudio de lo comentado.

Publicado el  por 

Se ha filtrado un documento con lo que sería el texto negociado y propuesto entre la Comisión y el Consejo del Reglamento Europeo de Protección de Datos (ver al respecto en el post anterior titulado “La Unión Europea rechaza la figura del Data Protection Officer -Delegado de Protección de Datos“-).

Se han introducido numerosos cambios en relación, no sólo con la Propuesta inicial de Reglamento, sino también en relación con las modificaciones sugeridas por el Parlamento Europeo.

Estos algunos de los cambios introducidos:

Ámbito de aplicación

Se acepta el matiz, “independientemente de si se requiera el pago” introducido el Parlamento Europeo sobre aplicar el Reglamento cuando se ofrezcan bienes y servicios a los europeos.

Sobre aplicar el Reglamento cuando se monitorice el comportamiento de los usuarios, siempre que esta actividad tenga lugar en la Unión Europea.

Definiciones

Se introduce la restricción al tratamiento, que supone adoptar medidas en el almacenamiento de datos para restringir su tratamiento en el futuro.

Pseudoanonimización: tratamiento de datos personales que no permite identificar a una persona sin otra información adicional que, a su vez, se encuentra separada, existiendo medidas técnicas que no permitan la identificación.

Cesionarios: las autoridades públicas que reciban datos personales en el ejercicio de sus funciones, no tendrán tal consideración.

Se elimina el concepto de menor de todo aquel que tenga menos de 18 años.

Se introducen las definiciones de servicio de la sociedad de la información organización internacional.

Principios sobre el tratamiento de datos personales.

Aparece el interés público en una doble vertiente:

  • El tratamiento de los datos personales para fines históricos, estadísticos, científicos y de interés público no se considerará incompatible con la finalidad que motivó la recogida de datos personales.
  • Por los mismos motivos que los descritos anteriormente, incluyendo obviamente, el interés público, se podrán guardar los datos personales más tiempo que el estrictamente necesario.

Licitud para el tratamiento de datos

Se introduce que será licito el tratamiento de los datos personales cuando el afectado ha dado suconsentimiento “sin ambigüedades”.

Es decir, de aprobarse el Reglamento con esta inclusión, ya tenemos debate para saber qué es un “consentimiento sin ambigüedades”.

*No obstante lo anterior, me apunta @PaulaOrtiz_ por twitter que la Directiva 95/46 también recoge dicho término pero que ha sido traducido por “inequívoco” que conocemos actualmente.

Por otra parte, se desarrolla la posibilidad de tratamiento posterior para una finalidad diferente a la que motivó la recogida, de forma que para este tratamiento posterior se tendrán en cuenta, entre otros, el tipo de datos personales, la finalidad que motivó su recogida, y la relación entre la finalidad originaria del tratamiento de datos y las posteriores.

Consentimiento

El responsable debe demostrar que el afectado ha dado su consentimiento “sin ambigüedades” para el tratamiento de los datos.

*Ver nota anterior sobre “sin ambigüedades” e “inequívoco”.

El consentimiento expreso sería obligatorio para el tratamiento de datos especialmente protegidos, incluyendo también los datos genéticos.

Se elimina “El consentimiento no constituirá una base jurídica válida para el tratamiento cuando exista un desequilibro claro entre la posición del interesado y el responsable del tratamiento.”

Derecho de información

Se distingue entre el contenido que debe facilitarse de forma obligatoria, y el que queda condicionado a las “circunstancias y contexto en que los datos personales son tratados”.

De esta forma, el derecho de información se configura de la siguiente forma:

  1. Obligatorio:
  • Identidad y dirección del responsable, y del DPO si existiese;
  • Las finalidades del tratamiento.

2. Condicionado a las circunstancias y contexto del tratamiento de datos:

  • El interés legítimo perseguido por el responsable (cuando el tratamiento se base en el mismo);
  • Los cesionarios;
  • Transferencias internacionales;
  • El ejercicio de los derechos ARCO;
  • La posibilidad de realizar una reclamación ante la Autoridad de Control;
  • Si la recogida de datos personales se fundamenta en la existencia de un contrato, así como las consecuencias de no facilitar los datos;
  • Que se van a adoptar decisiones automatizadas, incluyendo el “profiling”.

Dos nuevos derechos: limitación al tratamiento y obligación de notificar cualquier rectificación, cancelación o restricción en el tratamiento.

Respecto al primero de ellos, el interesado tendría derecho que el responsable limite o restringa el tratamiento de sus datos personales cuando:

  1. El interesado considere que no son exactos, mientras el responsable verifica dicha exactitud;
  2. El responsable ya no necesita tratar los datos personales, y sólo son necesarios por si hubiese una demanda;
  3. El interesado ha ejercitado el derecho de oposición, mientras el responsable decide si todavía existen motivos para seguir el tratamiento de datos.

Respecto al segundo, el responsable debe comunicar a aquellos que haya cedido los datos personales, cualquier rectificación, cancelación o restricción en el tratamiento de los datos de los afectados, salvo que suponga un esfuerzo desproporcionado o sea imposible realizar dicha comunicación.

Obligaciones del responsable del tratamiento

La adopción de medidas para asegurar y demostrar que el tratamiento de datos cumple con el Reglamento, queda condicionada a la finalidad del tratamiento de datos así como los posibles perjuicios que puedan ocasionar sobre los derechos de los afectados.

Estas medidas incluirían también las políticas de cumplimiento por parte del Responsable, cuando sean proporcionadas en relación con el mencionado tratamiento.

Por otra parte, el Parlamento Europeo había denominado a este artículo “Responsabilidad y accountability del responsable”. En esta nueva versión, el título se reduce a “Obligaciones del responsable”.

Seguridad

Las medidas de seguridad se implementarán en razón de la tecnología existente, el coste económico, la naturaleza de los datos y objetivo del tratamiento, así como el riesgo para los derechos y libertades de los afectados.

Desaparece parte del contenido mínimo de las medidas de seguridad que había introducido el Parlamento Europeo, como eran asegurar la existencia de una política de seguridad, o que dichas medidas asegurasen un tratamiento leal y por la persona autorizada.

También se elimina la existencia de medidas de seguridad adicionales para el tratamiento de datos especialmente protegidos.

Lo que se mantiene es que debe asegurarse que el tratamiento se realice bajo las instrucciones del responsable, así como que se tiene que evitar la destrucción de los datos o accesos no autorizados.

Notificación de brechas de seguridad

Se elimina la obligación de notificar cualquier brecha de seguridad a la Autoridad de Control competente, de forma que será únicamente en los siguientes supuestos: que se ponga en riesgo los derechos y libertades de los afectados, robo de identidad o fraude, datos económicos, daño reputacional y datos que estén sometidos al secreto profesional, así como cualquier otro que pueda producir un perjuicio económico y social.

No obstante lo anterior, en el supuesto de que la brecha de seguridad no deba comunicarse al afectado, no será necesario comunicarla a la Autoridad de Control.

Esta cuestión es bastante absurda, ya que en la parte referida a los supuestos en que debe comunicarse la brecha a los afectados, son los mismos supuestos descritos anteriormente como notificación a la Autoridad de Control.

El plazo para notificar se amplía de 24 horas a 72.

Protección de Datos

Termina de leer el artículo original

Fuente: Privacidad Lógica

Etiquetas:

NEWSLETTER

Introduce tu email para estar informado de todas las novedades

Acepto la política de privacidad y de datos

Deseo recibir información comercial y newsletter

INFORMACIÓN BÁSICA SOBRE EL TRATAMIENTO DE SUS DATOS PERSONALES

Responsable: Firma, Proyectos y Formación S.L.; Finalidad: enviarle las novedades y publicaciones informativas llevadas a cabo en Firma-e; Derechos: podrá ejercer su derecho de acceso, rectificación, supresión, oposición, limitación y/o portabilidad cuando proceda mandando un email a rgpd@firma-e.com; Información detallada: puede consultarla en nuestra política de privacidad.