Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar todas las cookies" para disfrutar de esta web con todas las cookies, configura tus preferencias antes de aceptarlas, o utiliza el botón "Rechazar todas las cookies" para continuar sin aceptar.

Gestión de Cookies
Zona Privada Asociados   |   Boletines Compliance
 
FORMULARIO DE CONTACTO
Deseo suscribirme al Newsletter de la WCA
 

10/07/2017

Comienza una nueva era en el tratamiento y la protección de datos personales

El nuevo Reglamento Europeo de Protección de Datos (REPD) crea un nuevo paradigma que cambiará la forma de entender y gestionar los datos personales.

El mundo se encuentra en permanente cambio y el derecho debe ir adaptándose a los dictados y necesidades sociales. Así pues, en mayo de 2018 comenzará una nueva era en la protección de datos, ya que finaliza el periodo de transición y la Ley orgánica 15/1999 (Ley Orgánica de Protección de datos), pasa a mejor “clúster”. Es por ello necesario adaptarse cuanto antes a los notables cambios que el "Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de Abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos", y por el que se deroga la Directiva 95/46/CE, conlleva.

Con un régimen sancionador sin precedentes, que puede imponer multas de hasta el 4% del volumen total anual global de facturación de una compañía o llegar a los 20 millones de euros, el oro del Siglo XXI, como se conoce a los datos personales, entra en una nueva era de gestión.

“Societas delinquere non potest”

Con la modificación del código penal y la desaparición del principio penal clásico: “Societas delinquere non potest”, es decir, que una persona jurídica no puede delinquir, se abre una nueva era dogmática jurídico-penal  en  el mundo empresarial.

Ya en el artículo 31 bis de la Ley Orgánica 1/2015 de 30 de marzo de reforma del Código Penal se mostraba el alcance de la exención o atenuación de la responsabilidad penal y se incluían los planes de prevención de delitos (en su apartado 5 determina los requisitos de los modelos de organización y gestión eximentes de responsabilidad).

Los planes Compliance

Compliance es un término de origen anglosajón que deriva del sector financiero, área tradicionalmente sometida a una compleja legislación. Literal y formalmente significa "the act of obeying an order, rule, or request" cuya traducción práctica es “cumplimiento normativo".

En este aspecto, destaca la figura del Compliance Officer (o director de cumplimiento normativo) para las organizaciones y que está calando -ya sea como parte de la plantilla o como servicio externo- en las empresas españolas debido al endurecimiento de la legislación y a la necesidad de garantizar el cumplimiento normativo.

Una nueva era en la protección de datos personales

También cabe subrayar que pese a que parece tarea sencilla, disociar los datos de manera irreversible no lo es. Son necesarios sistemas de gran complejidad de manera que la identificación exija esfuerzos desproporcionados y que en la práctica sea equivalente al borrado permanente.

Así pues, el uso de datos de carácter personal de manera abierta en procesos como el Open Data, Big Data o la transparencia del sector público, exige un ejercicio constante de ponderación entre el derecho a la información y el derecho a la protección de los datos personales.

Los 10 cambios más significativos que implica el Reglamento Europeo de Protección de Datos son:

  1. Consentimiento expreso e inequívoco, que requiere un consentimiento libre, específico, informado y demostrable.
  2. Categorías de datos especiales ; origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud, datos relativos a la vida y orientación sexuales.
  3. Nuevas obligaciones como encargado del tratamiento; informar de las brechas de seguridad, comunicar en un máximo de 72 horas los fallos de seguridad así como la obligación un estudio de riesgo para las empresas que utilicen datos sensibles.
  4. Privacy Impact Assessments (PIA´s).  Evaluaciones de impacto en protección de datos (EIPD), siempre que sea probable que las operaciones de tratamiento, entrañen un alto riesgo para los derechos y libertades de las personas físicas.
  5. Promueve la creación de perfiles o la seudonimización, relevantes en entornos y procesos de Cloud Computing y Big Data. Es una medida encaminada a la reducción de riesgos que consiste en la separación con “barreras” técnicas u organizativas que impidan la identificación posterior.
  6. Data Protection Officer (DPO) | Delegado Protección de datos. Profesionalización de la figura del responsable de protección de datos (el cual será obligatorio, ya sea en plantilla o como servicio externalizado, en determinados organismos y empresas).
  7. Data Mapping se trata de elaborar un inventario del flujo de datos; identificar e registrar las principales bases de datos y posteriormente clasificarlas.
  8. Amplia el concepto de “Dato Personal” ya que incluirá los números de identificación en línea o de localización.
  9.  Nuevos derechos para los titulares de datos. A los derechos ARCO (acceso, rectificación, cancelación y oposición), se suman el derecho a la supresión (derecho al olvido), derecho a la limitación y derecho de portabilidad).
  10.  Tres principios;  accountability o principio de control, rendición de cuentas y diligencia debida; privacy by design o implementar medidas y procedimientos técnicos y organizativos apropiados para garantizar el cumplimiento normativo y la protección de los derechos de los interesados; y, en su caso, garantizar por defecto el tratamiento de datos para fines concretos o privacy by default.

Es por ello recomendable ir adaptando el sistema actual, basado en la Ley Orgánica de Protección de Datos (LOPD) al Reglamento Europeo de Protección de Datos (RGPD), el cual cual entró en vigor en mayo de 2016 y será aplicable a partir de mayo de 2018. En este periodo transitorio y aun cuando siguen vigentes las disposiciones de la Directiva 95/46 y las correspondientes normas nacionales de desarrollo, los responsables y encargados de tratamiento deben ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del REPD en su momento de aplicación.

Abraham Muinelo

Socio-Director IWS Consultores & BvQ Consulting

Asociado y Director del Comite de Compliance Sector Agrolimentario World Compliance Association

Quiénes Somos


 
Patrocinadores
Colaboradores
Entidades Asociadas