Medidas de seguridad en el Reglamento Europeo

Seguridad y protección de datos

Como sabemos, el RD 1720/2007, de 21 de diciembre (Reglamento de desarrollo de la LOPD), regula un número significativo de medidas técnicas de seguridad que los responsables de fichero han de poner en práctica para hacer efectivo el Derecho a la protección de datos de carácter personal. A nadie se le escapa que dicho Derecho quedaría en nada si no viniera respaldado por un mínimo de seguridad.

Como no podía ser de otra forma, al legislador europeo también le ha preocupado especialmente este tema. Así, en el considerando 78 del nuevo Reglamento Europeo se indica que es necesaria la adopción de medidas técnicas y organizativas que garanticen el cumplimiento de los requisitos del propio Reglamento. Se hace una relación de qué tipo de medidas pueden ser estas; a saber:

  1. Reducir al máximo el tratamiento de datos personales.
  2. Seudonimizar lo antes posible los datos personales.
  3. Dar transparencia a las funciones y el tratamiento de datos personales.

El considerando 81 incide, por otro lado, en la necesidad de que el responsable de fichero que contrata a un encargado de tratamiento, recurra únicamente a encargados que ofrezcan suficientes garantías (conocimientos especializados, fiabilidad, y recursos de cara a la aplicación de medidas técnicas y organizativas propias del reglamento, entre ellas, la seguridad, por supuesto).

Además, la relación con este encargado de tratamiento (como ya dispone nuestro artículo 12 LOPD), debe constar en un contrato escrito con un contenido definido por la norma.

Por tanto, hay que ser muy cautelosos a la hora de contratar a un prestador de servicios que vaya a tratar datos de nuestros clientes (por ejemplo: un asesor fiscal), y elegir a aquellos que cumplan la normativa de protección de datos.

En el considerando 83, nos dice el Reglamento Europeo que el responsable de ficheros debe evaluar los riesgos propios del tratamiento y aplicar medidas para mitigarlos, como el cifrado, y el 85, se impone la obligación de notificar –en un plazo de 72 horas- a la autoridad de control competente las violaciones se seguridad que puedan producirse (también se habrá de notificar al propio perjudicado).

Por su parte el considerando 90 establece que en determinados casos, los responsables de fichero tendrán que realizar una evaluación de impacto sobre protección de datos para valorar la particular gravedad y probabilidad del alto riesgo.

Consentimiento e información

Reglamento europeo protección datos

El nuevo Reglamento Europeo de Protección de Datos, hace especial énfasis en el tema de la información y  consentimiento para el tratamiento de datos de carácter personal.

Veamos en qué medida se regula esta cuestión y atendamos al tenor literal del considerando 39 del referido texto legal:

1º. Los tratamientos de datos serán siempre lícitos y leales: a la persona le tiene que quedar absolutamente  claro que sus datos se recogen o tratan y en qué medida.

2º. Se consolida el principio de transparencia. Según el mismo, cualquier información o explicación que se proporcione al interesado sobre el tratamiento de sus datos, será de fácil acceso y comprensión, con uso de lenguaje sencillo y claro.

3º. ¿Y sobre qué ha de quedar claramente informada la persona? Pues sobre la identidad del responsable del tratamiento, los fines del mismo, y sus derechos.

4º. Los datos que se recojan serán los adecuados, pertinentes y estrictamente necesarios para el tratamiento que se pretende de los mismos.

5º. Los datos se conservarán por quien los recoja, durante el tiempo mínimo necesario para su tratamiento. Y se fijarán con exactitud cuánto van a durar los plazos de  conservación.

6º. En el tratamiento de los datos, siempre se habrá de garantizar la confidencialidad y seguridad de los mismos, impidiendo el acceso por personas no autorizadas.

7º. Por supuesto, el principio de consentimiento en el tratamiento de datos, es esencial: no se pueden recoger ni tratar datos sin contar antes con la autorización expresa del titular de la información, teniendo no obstante en cuenta, las excepciones legales.

8º. El hecho de que se haya prestado el consentimiento, tiene que poder ser demostrado por la persona o entidad que recoge y trata los datos. Por tanto, el consentimiento nunca se puede suponer. Literalmente, dice el Reglamento Europeo en su considerando 42 que:

“…debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.”

9º. Por supuesto, el principio de consentimiento, tiene una serie de excepciones, como:

  • Cuando sea necesario en el contexto de un contrato o de la intención de concluirlo.

 

  • Cuando exista una obligación legal.

 

  • Cuando sea necesario para proteger un interés esencial para la vida de la persona.

10º. Todo lo anterior se recoge expresamente en los artículos 5, 6, 12 y 13 del Reglamento Europeo.

Delegado de protección de datos

¿Necesito nombrar un Delegado de Protección de Datos?
¿Necesito nombrar un Delegado de Protección de Datos?

A raíz de la aprobación del Reglamento Europeo de Protección de Datos, mucho se oye hablar de la figura del DELEGADO DE PROTECCIÓN DE DATOS, similar a la del Responsable de Seguridad establecida en el actual RD 1720/2007, por el que se aprueba el Reglamento de desarrollo de la LOPD.

Dicho Delegado viene definido en los artículos 37, 38 y 39 del Reglamento Europeo.

Lo primero que debemos preguntarnos es si siempre es obligatorio su nombramiento.

La respuesta es no, y sólo procederá en los siguientes casos:

1º. Cuando el tratamiento de datos lo realice una autoridad u organismo público, con excepción de los tribunales de justicia.

2º. Cuando la actividad principal del responsable de fichero consista en operaciones de tratamiento que requieran observación habitual y sistemática de interesados a gran escala.

3º. Cuando la actividad principal del responsable de ficheros consista en el tratamiento a gran escala de categorías especiales de datos personales del artículo 9 (origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física) y de datos sobre condenas e infracciones penales.

¿Y qué significa exactamente aquí “gran escala”? Leyendo, no obstante, los Considerandos del Reglamento Europeo, encontramos las siguientes aclaraciones:

1º . El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado.

2º. […] operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad…

Sus funciones exactas están definidas en el artículo 39 del Reglamento Europeo, y serían las siguientes:

1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

 2. Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

3. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;

4. Cooperar con la autoridad de control;

5. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

¿Y quién puede ser, por último, Delegado?

Dice el Reglamento en sus Considerandos  lo siguiente:

  • Una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos.

  • Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente.