El Reglamento General Europeo de Protección de Datos (RGEPD) reemplaza la Directiva de Protección de Datos de la UE de 1995. Con una protección de datos moderna a nivel europeo, el RGPD ofrece soluciones a las cuestiones que surgen del big data y nuevas técnicas o tipos de procesamiento de datos como la elaboración de perfiles, el seguimiento web o la computación en la nube para la protección de la privacidad.
Origen del Reglamento General Europeo de Protección de Datos (RGEPD)
El Parlamento Europeo adoptó el RGPD por amplia mayoría el 14 de abril de 2016. Entró en vigor el 25 de mayo de 2018 tras una fase de transición de dos años y constituye el marco de protección de datos dentro de la Unión Europea. Las empresas tuvieron que adaptar sus procesos comerciales a la nueva situación legal antes del 25 de mayo de 2018.
Modernización de la ley europea de protección de datos
El RGPD es un paso importante hacia un mercado interior europeo armonizado. El objetivo del Reglamento es lograr un equilibrio adecuado entre los intereses de las empresas y los consumidores en tiempos de avance de la digitalización. Refuerza el derecho fundamental a la autodeterminación informativa a través de una mayor transparencia y una mayor participación de los ciudadanos respecto de sus datos. Al mismo tiempo, el reglamento crea un marco legal orientado al futuro para las empresas de procesamiento de datos y los modelos comerciales innovadores.
Implementación del RGPD en España
El gobierno español supervisa la implementación del RGPD y su efecto en la práctica. Para ello, el La Agencia Española de Protección de Datos (AEPD) está en contacto con las asociaciones y empresas afectadas y con el Ministerio de Política Territorial, responsable de la legislación en materia de protección de datos. Junto con la AEPD, organiza cada seis meses una mesa redonda sobre la legislación en materia de protección de datos. La serie de debates ofrece una plataforma para el intercambio entre empresas y autoridades de supervisión, pero también otros actores como la Comisión Europea, sobre cuestiones y desafíos actuales en la legislación de protección de datos.
Las empresas pueden obtener información y apoyo práctico para implementar el RGPD localmente de asociaciones, cámaras y autoridades supervisoras de protección de datos.
Evaluación del RGPD
El RGPD se evalúa y revisa periódicamente. Cada cuatro años se realiza una evaluación.
La Comisión de la UE presenta un informe al Parlamento Europeo y al Consejo Europeo, que también es publicado. Si es necesario, la Comisión presenta, sobre esta base, propuestas para modificar el Reglamento. Además, en Bruselas se produce un intercambio regular entre la Comisión de la UE y los Estados Miembros.
La evaluación la inicia la Comisión de la UE. Durante la evaluación, la AEPD informa sobre la implementación y los problemas, especialmente para las pequeñas y medianas empresas.
La Comisión de la UE presentó el primer informe de evaluación en junio de 2020.
Elementos centrales del RGPD: Nivel uniforme de protección de datos en toda Europa
El RGPD crea un nivel uniforme de protección de datos en toda Europa. Se ha creado una igualdad de condiciones uniforme para las empresas europeas. Se eliminan las distorsiones existentes de la competencia y las barreras de acceso al mercado resultantes de diferentes regulaciones nacionales de protección de datos. Además, el RGPD contiene numerosas innovaciones en comparación con la Directiva de protección de datos de la UE de 1995. Algunos elementos centrales que nos señalan los profesionales legislativos de Serrador, Cerdá y Gil-Orozco son particularmente dignos de mención:
1. Seudonimización de datos
El RGPD establece incentivos más fuertes para la seudonimización de datos. Esto significa que el nombre u otra característica identificativa se reemplaza por un seudónimo, generalmente una combinación de letras o números de varios dígitos. Esto hace que sea mucho más difícil identificar a las personas afectadas. Mediante la seudonimización se pueden tratar grandes cantidades de datos sin ninguna referencia personal y por tanto de forma especialmente respetuosa con los derechos fundamentales. El RGPD facilita el procesamiento posterior de datos para un fin distinto al de la recopilación de datos original si este procesamiento posterior se realiza de forma seudonimizada. Esto es particularmente importante para los análisis de big data.
2. Diferentes bases legales para el tratamiento de datos
El hecho de que el procesamiento de datos de acuerdo con los requisitos del RGPD (al igual que con la anterior Directiva de Protección de Datos de la UE de 1995) no sólo pueda basarse en el consentimiento del interesado, sino también en otras bases jurídicas. Por ejemplo, el procesamiento de datos también está permitido sin consentimiento si el procesamiento de datos es necesario para el cumplimiento de un contrato (por ejemplo, con un cliente). En casos individuales, el procesamiento de datos también puede basarse en los intereses legítimos imperiosos del procesador de datos o de un tercero. Esto puede ser especialmente importante para las empresas que, a diferencia de las grandes plataformas de Internet, no pueden obtener fácilmente el consentimiento de los afectados, porque se comunican con sus clientes por carta, por ejemplo. Los considerandos del RGPD dejan claro que, entre otras cosas, el procesamiento de datos con fines publicitarios puede representar un interés legítimo en casos individuales. Independientemente de la base jurídica elegida, se deben respetar los requisitos de información del RGPD . El interesado debe ser informado, en particular, sobre la finalidad del tratamiento de datos y la base jurídica.
3. Privilegio del tratamiento de datos con fines de investigación
Lo que es nuevo en comparación con la situación jurídica anterior son las evaluaciones claras del RGPD en el ámbito de la investigación. El RGPD deja expresamente claro que el procesamiento posterior de datos personales con fines de investigación debe considerarse compatible con el propósito original de la recopilación de datos. Al mismo tiempo, el RGPD introduce explícitamente la posibilidad de un consentimiento amplio en el ámbito de la investigación científica. Esto permite obtener el consentimiento para fines de investigación, incluso si dichos fines aún no pueden explicarse en detalle cuando se recopilan los datos.
4. Más transparencia y control para los afectados
El RGPD protege la privacidad de los usuarios en big data, seguimiento web y elaboración de perfiles y define el derecho al olvido y la portabilidad de los datos. El llamado principio de mercado, expresamente estandarizado, también garantiza que el RGPD se aplica a los procesadores de datos que no están establecidos en la Unión Europea si el procesamiento de datos sirve para ofrecer bienes o servicios a personas residentes en la Unión Europea.
El RGPD también aumenta las obligaciones de transparencia de las empresas hacia sus clientes y amplía los derechos de los afectados, como el derecho a la información. Porque los afectados necesitan saber qué ocurre con sus datos y con qué finalidades se tratan. El RGPD exige declaraciones de protección de datos sencillas y comprensibles. Los sellos y certificaciones de protección de datos también pueden garantizar una mayor transparencia. Todo ello garantiza un mayor control y transparencia en el tratamiento de datos.
Implementa el RGPD en tu empresa
Implementar los requisitos del RGPD puede ser un desafío, especialmente para las pequeñas y medianas empresas. Puedes consultar esta lista de control para la implementación del RGPD en tu empresa, la cual ofrece una primera visión general de qué pasos de prueba pueden ser necesarios.
- Comunicación y sensibilización: La dirección y otros responsables de la protección de datos deben estar dentro de la empresa.
- Inventario: Para poder identificar posibles necesidades de cambios en el tratamiento de datos personales, las empresas deben realizar un inventario de los procesos en los que se procesan datos personales.
- Consulta las bases legales: Incluso según el RGPD de la UE, siempre existe una base legal para el procesamiento de datos personales. La base jurídica puede provenir directamente del RGPD de la UE. El procesamiento de datos también es, entre otras cosas, permitidos si se utilizan para cumplir un contrato con la persona interesada.
- Requisitos para el consentimiento en materia de protección de datos: Muchas empresas utilizan el consentimiento (por ejemplo, del cliente) como base legal para el procesamiento de la información personal.
- Consulta contratos y normativas: Las empresas deben revisar y revisar sus contratos existentes para el procesamiento de datos. También los procesos comerciales, regulaciones/directrices y manuales existentes, como los acuerdos de servicio, deben comprobarse para ver si son compatibles con los requisitos del RGPD de la UE.
- Evaluación de impacto de la protección de datos: Se debe llevar a cabo una evaluación de impacto de la protección de datos si es probable que el procesamiento de datos resulte en un alto riesgo para los derechos y libertades de los interesados debido a la naturaleza, alcance, circunstancias y propósitos del procesamiento. A una evaluación de impacto de la protección de datos puede ir seguida de una consulta obligatoria con la autoridad supervisora responsable.
- Obligaciones de información y consulta: Las obligaciones de información y consulta ante las autoridades de control debe reflejarse en los procesos internos de la empresa. Al mismo tiempo, se debe garantizar que el delegado de protección de datos de la empresa es el responsable de las cuestiones de protección de datos y están involucrados en el diseño de procesos de procesamiento de datos en una etapa temprana
- Derechos de los afectados y obligaciones de información: Los derechos de los interesados regulados en el RGPD de la UE deben integrarse en los procesos comerciales de la empresa, y ser mapeados e implementados hacia los afectados. Esto incluye, por ejemplo, el derecho a la eliminación, el derecho a la portabilidad de los datos y las obligaciones de información de la persona interesada, incluida la responsabilidad general. Los requisitos de documentación sirven para el autocontrol operativo y la verificación efectiva.
- Protección de datos mediante el diseño técnico y mediante configuraciones predeterminadas amigables con la protección de datos: El RGPD de la UE especifica condiciones marco, como los requisitos de protección de datos, que deben ser implementados por el organismo responsable durante el diseño del proceso y los ajustes previos. Esto debe hacerse al configurar y diseñar los sistemas de procesamiento de datos. Las empresas deberían considerarlo en una fase temprana.
Conclusión
El RGPD de la UE se apoya en un sistema de gestión de protección de datos con un catálogo de obligaciones que aseguran su cumplimiento
Los requisitos de protección de datos deben garantizarse de forma temprana, eficaz y rápida. Es responsabilidad de la empresa implementar proactivamente este sistema. De lo contrario, pueden ocurrir violaciones de datos, como consecuencia de multas y/o reclamaciones de indemnización por daños y perjuicios por parte de los afectados.