Dar respuesta a los grandes avances a nivel tecnológico y el uso de las nuevas tecnologías en el uso de datos personales, el reglamento europeo detratamiento de datos de carácter personal (a partir de ahora RGPD) del año 2016, de aplicación directa y obligado cumplimiento por parte de los estados miembros, intenta dar respuesta a estas nuevas realidades introduciendo nuevas medidas, de las que ya existían sentencias y artículos doctrinales, como es el derecho al olvido o la protección de datos de personas fallecidas, entre otras cosas.
La nueva normativa cambia el modelo actual de control activo de la administración sobre empresas y particulares en el cumplimiento de las normas de protección de datos a un sistema de asunción de responsabilidad de la entidad receptora de datos, para el que surge una nueva figura, el delegado de protección de datos (DPO en sus siglas en inglés).
Con el presente artículos, abordaré alguno de los cambios más reseñables, remitiendo al lector al citado reglamento y al nuevo proyecto de ley de protección de datos para mayor ilustración sobre el tema.
Como novedad, se introduce la posibilidad de pedir, antes datos publicados en redes sociales y medios telemáticos, el borrado y eliminación de dichos datos dentro de las posibilidades técnicas del responsable del tratamiento de los datos personales.
Se mantiene la obligación de llevar un control de las bases de datos, así como establecer un control de las actividades llevadas a cabo para el tratamiento de las mismas. Como novedad, las entidades no estarán obligadas a transmitir las bases de datos a la Agencia Estatal de Protección de Datos, pero si tendrán que seguir contando con dicha información para el caso de una posible inspección y siguiendo el principio de responsabilidad.
Para la implantación y concreción de las medidas de protección y vigilancia de protección de datos se establece la necesidad de promocionar la elaboración de códigos de conducta por parte de las entidades y organismos sujetos a la normativa de protección de datos.
Las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento podrán elaborar códigos de conducta o modificar o ampliar dichos códigos con objeto de especificar la aplicación del presente Reglamento, como en lo que respecta a:
a) el tratamiento leal y transparente;
b) los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos;
c) la recogida de datos personales;
d) la seudonimización de datos personales;
e) la información proporcionada al público y a los interesados;
f) el ejercicio de los derechos de los interesados;
g) la información proporcionada a los niños y la protección de estos, así como la manera de obtener el consentimiento
de los titulares de la patria potestad o tutela sobre el niño;
h) las medidas y procedimientos a que se refieren los artículos 24 y 25 y las medidas para garantizar la seguridad del
tratamiento a que se refiere el artículo 32;
y otros puntos establecidos en el art. 40 del Reglamento Europeo.
Se establece un especial control con la transferencia de datos de carácter personal, sobre todo con países que no cuentan con las mismas garantías al respecto, al respecto, en el art. 40 del proyecto de ley de protección de datos se establece un control por parte de la Agencia Estatal de Protección de Datos.
Ello trae su origen, entre otros motivos, en los continuos problemas generados por los servidores y alojamientos web en países extracomunitarios con normativas más laxas o en algunos casos casi inexistentes en protección de datos de carácter personal. Debemos de tener en cuenta, que la mayoría de bases de datos y sistemas de almacenamiento de datos “nubes” se encuentran alojados en servidores extracomunitarios.
El cambio a un sistema de asunción de responsabilidad, por parte de las entidades obligadas al tratamiento de datos de carácter personal, introduce la figura del delegado de protección de datos, diferente al responsable y encargado de protección de datos, será el encargado de informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.
Su nombramiento correrá a cargo del delegado y responsable, estando obligados las siguientes entidades, según establece el art. 14 del proyecto de ley de protección de datos:
a) Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
i) Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.