Cambios clave del RGPD
Una perspectiva general de los principales cambios bajo RGPD y cómo difieren de la directiva anterior.
El propósito del RGPD es proteger a todos los ciudadanos de la UE contra las infracciones de privacidad y datos dentro de un mundo cada vez más centrado en los datos, muy diferente al entorno en el que fue establecida la directiva de 1995. Aunque los principios clave de la privacidad de datos mantienen los de la directiva anterior, se han propuesto numerosos cambios en las políticas reglamentarias; los puntos clave del RGPC, así como información sobre sus impactos sobre los negocios, se ofrecen a continuación.
Mayor alcance territorial (aplicabilidad extraterritorial)
Probablemente, el mayor cambio dentro del panorama reglamentario de la privacidad de datos sea la jurisdicción extendida del RGPD, ya que se aplica a todas las empresas que procesan datos personales de sujetos de datos residentes en la Unión, independientemente de la ubicación de la empresa. Anteriormente, la aplicabilidad territorial de la directiva era ambigua y se refería al procesamiento de datos 'en el contexto de un establecimiento'. Este tema ha surgido en varias causas judiciales de alto perfil. El RGPD hace su aplicabilidad muy clara - se aplicará al procesamiento de datos personales por parte de controladores y procesadores en la UE, independientemente de si dicho procesamiento se realiza en la UE o no. El RGPD también se aplicará al procesamiento de datos personales de sujetos de datos en la UE por parte de un controlador o procesador no establecido en la UE, si las actividades se relacionan con: oferta de mercancías o servicios a ciudadanos de la UE (sin tomar en cuenta si se requiere pago) y la monitorización de conducta que tiene lugar dentro de la UE. Negocios fuera de la UE que procesen los datos de ciudadanos de la UE también deberán nombrar un representante en la UE.
Penalizaciones
Bajo el RGPD, las organizaciones que lo infrinjan podrán ser multadas hasta un 4% del volumen de negocios anual o 20 millones de euros (cualquiera que sea mayor). Ésta es la multa máxima que puede ser impuesta por las infracciones más graves, p. ej., no tener suficiente consentimiento del cliente para procesar datos o violar los fundamentos de los conceptos de Privacidad por diseño. El planteamiento de las multas es escalonado, p. ej., una empresa puede ser multada un 2% por no tener sus registros en orden (artículo 28); no notificar a la autoridad supervisora o al sujeto de los datos sobre una infracción; o, no realizar una evaluación de impactos. Es importante observar que estas reglas se aplican a controladores y procesadores, por lo que las 'nubes' no estarán exentas de la aplicación del RGPD.
Consentimiento
Las condiciones de consentimiento se han fortalecido, y las empresas ya no podrán utilizar términos y condiciones largos, ilegibles y llenos de jerga legal, ya que la solicitud de consetimiento se debe ofrecer en un formato inteligible y fácilmente accesible, con el propósito del procesamiento de datos adjuntos a dicho consentimiento. El consentimiento debe ser claro y distinguible de otras cuestiones y proporcionarse de forma inteligible y fácilmente accesible, empleando un lenguaje claro y llano. Retirar el consentimiento deberá ser tan fácil como darlo.
Derechos del sujeto de datos
Notificación de infracción
Bajo el RGPD, la notificación de infracciones será obligatoria en todos los estados miembro donde la infracción de datos pueda “resultar en un riesgo para los derechos y libertades de individuos”. Esto debe hacerse en un plazo de 72 horas a partir de conocerse la infracción. Los procesadores de datos también deberán notificar a sus clientes, los controladores, “sin demora indebida” nada más conocer la infracción de datos.
Derecho a acceso
Parte de los derechos ampliados de los sujetos de datos perfilados por el RGPD, es el derecho de los sujetos de datos de obtener del controlador de datos confirmación de si se están procesando datos personales relacionados con ellos, dónde y con qué propósito. Asimismo, el controlador deberá proporcionar una copia de los datos personales, gratuitamente, en formato electrónico. Este cambio representa un movimiento dramático hacia la transparencia de datos y el empoderamiento de los sujetos de datos.
Derecho a ser olvidado
También conocido como Borrado de datos, el derecho a ser olvidado le da derecho al sujeto de datos a pedir que el controlador de datos borre sus datos personales, deje de diseminar los datos, y potencialmente haga que partes terceras dejen de procesar los datos. Las condiciones del borrado, como se perfilan en el artículo 17, incluyen los datos que ya no son oportunos para los propósitos originales de procesamiento, o que los sujetos de datos retiren su consentimiento. También deberá observarse que este derecho exige que los controladores comparen los derechos del sujeto con "el interés público en la disponibilidad de los datos" al considerar tales solicitudes.
Portabilidad de datos
El RGPD introduce la portabilidad de datos - el derecho de un sujeto de datos de recibir los datos personales relacionados con ellos, que han proporcionado previamente en un 'formato utilizado comúnmente y legible por máquina', y el derecho de transmitir dichos datos a otro controlador.
Privacidad por diseño
La Privacidad por diseño es un concepto que existe desde hace varios años, pero solo ahora se está convirtiendo en parte de un requisito legal con el RGPD. Fundamentalmente, la privacidad por diseño exige la inclusión de protección de datos desde el inicio del diseño de sistemas, en lugar de su adición. Más específicamente - 'El controlador deberá..implementar medidas técnicas y organizacionales..de una manera eficaz.. con objeto de satisfacer los requisitos de este Reglamento y de proteger los derechos de los sujetos de datos'. El artículo 23 exige que los controladores conserven y procesen solo los datos absolutamente necesarios para la realización de sus tareas (minimización de datos), y que limiten el acceso a datos personales a aquellos que necesiten realizar el procesamiento.
Funcionarios de protección de datos
En la actualidad, los controladores deben notificar sus actividades de procesamiento de datos con las DPA (Leyes de Protección de Datos) locales, que, para las multinacionales, puede ser una pesadilla burocrática, ya que la mayoría de los estados miembro tienen diferentes requisitos de notificación. Bajo el RGPD no será necesario entregar notificaciones/registros a cada DPA local de las actividades de procesamiento de datos, ni tampoco será un requisito notificar/obtener aprobación para transferencias basadas en las Cláusulas Modelo de Contrato (MCC, Model Contract Clauses). En su lugar, habrá requisitos internos de mantenimiento de registros, como se explican a continuación, y el nombramiento de funcionarios de protección de datos será obligatorio solo para aquellos controladores y procesadores cuyas actividades básicas consistan en operaciones de procesamiento que requieran la monitorización regular y sistemática de sujetos de datos a gran escala, o de categorías especiales de datos o datos relacionados con condenas y delitos criminales. Particularmente, el funcionario:
- Debe ser nombrado en base a cualidades profesionales y, en particular, conocimiento experto sobre las leyes y prácticas de protección de datos
- Puede ser un miembro del personal o un proveedor de servicios externo
- Datos de contacto se deben proporcionar a la DPA oportuna
- Debe ser provisto de recursos apropiados para realizar sus tareas y mantener su conocimiento experto
- Debe responder directamente ante el nivel más alto de gestión
- No debe realizar ninguna otra tarea que pueda resultar en un conflicto de intereses.