NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS Y SU ÁMBITO DE APLICACIÓN








 Con la influencia de internet y de las nuevas tecnologías, cada vez son más los datos que fluyen por la red relacionados con nuestra vida privada y que están sometidos a riesgos que invaden nuestra privacidad así como la confidencialidad de nuestra información, con la posibilidad de acceso a los mismos a terceros sin nuestro consentimiento. Para reforzar la protección, se ha desarrollado un nuevo Reglamento de protección de datos, el Reglamento 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de datos). El presente reglamento se aplicará a partir del próximo 25 de mayo de 2018. Se compone de 99 artículos, distribuidos en once capítulos:

-Capítulo I Disposiciones generales
-Capítulo II Principios

-Capítulo III Derechos del interesado 


·         Sección 1 Transparencia y modalidades

·         Sección 2 Información y acceso a los datos personales

·         Sección 3 Rectificación y supresión

·         Sección 4 Derecho a oposición y decisiones individuales automatizadas

·         Sección 5 Limitaciones


-Capítulo IV Responsable del tratamiento y encargado de tratamiento


·         Sección 1 Obligaciones generales

·         Sección 2 Seguridad de los datos personales

·         Sección 3 Evaluación de impacto de protección de datos y consulta previa

·         Sección 4 Delegado de protección de datos

·         Sección 5 Códigos de conducta y certificación


-Capítulo V Transferencia de datos personales a terceros países u organizaciones internacionales

-Capítulo VI Autoridades y control independientes 


·         Sección 1 Independencia

·         Sección 2 Competencia, funciones y poderes


-Capítulo VII Cooperación y coherencia


·         Sección 1 Cooperación y coherencia

·         Sección 2 Coherencia

·         Sección 3 Comité europeo de protección de datos


-Capítulo VIII Recursos, responsabilidad, sanciones

-Capítulo IX Disposiciones relativas a situaciones específicas de tratamiento

-Capítulo X Actos delegados y actos de ejecución

-Capítulo XI Disposiciones finales 

Los aspectos más importantes que regula el presente Reglamento son los siguientes:

-Considera la protección de las personas físicas en relación con el tratamiento de datos personales como un derecho fundamental, según el artículo 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea (“la carta”), y el artículo 16.1 del tratado de funcionamiento de la unión europea (TFUE).

-Los datos personales se refieren a toda información sobre una persona física identificada o identificable (el interesado), considerándose persona física identificable toda persona cuya identidad pueda determinarse directa o indirectamente en particular mediante un identificador, como un nombre, número de identificación, datos de localización, identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social, de dicha persona.

-El tratamiento de datos personales debe estar concebido para servir a la humanidad, no es un derecho absoluto sin que debe considerarse con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.

-La rápida evolución tecnológica y la globalización ha planteado nuevos retos para la protección de datos personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado de forma significativa, pues la tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Estos avances requieren un marco más sólido y coherente para la protección de datos en la Unión Europea, respaldado por una ejecución estricta, dada la importancia de generar la confianza que permita a la economía digital desarrollarse en todo el mercado interior.

-A fin de evitar que haya un grave riesgo de elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no depender de las técnicas utilizadas. La protección de las personas físicas debe aplicarse al tratamiento automatizado de datos personales así como a su tratamiento manual, cuando los datos personales figuren en un fichero o estén destinados a ser incluidos en él.

-Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramienta y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de cookies u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.

-El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos o una declaración verbal.

-Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable de tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. Para garantizar que el consentimiento se haya dado libremente, éste no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibrio claro entre el interesado y el responsable del tratamiento.

-Constituye un interés legítimo del responsable del tratamiento interesado el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información, es decir, la capacidad de una red o de un sistema de información de resistir, en un nivel determinado de confianza a acontecimientos accidentales, o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, y la seguridad de los servicios conexos ofrecidos por o accesibles a través de estos sistemas y redes, por parte de autoridades públicas, equipos de respuesta a emergencias informáticas (CERT), equipos de respuesta a incidentes de seguridad informática (CSIRT), proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad. Añade impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de “denegación de servicio” y daños a los sistemas informáticos y de comunicaciones electrónicas.

-Uno de los principios recogidos es el de transparencia, que exige que toda la información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y además, en su caso, se visualice.

-Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación del tratamiento y sus fines.

-Entre los métodos para limitar el tratamiento de datos personales cabría incluir los consistentes en trasladar temporalmente los datos seleccionados a otro sistema de tratamiento, en impedir el acceso a usuarios a los datos personales o seleccionados o en retirar temporalmente los datos publicados de un sitio internet.

-Para reforzar el control sobre sus propios datos, cuando el tratamiento de los datos personales se efectúe por medios automatizados, debe permitirse asimismo que los interesados que hubieran facilitado datos personales que les conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable de tratamiento.

-Debe verificarse si se ha aplicado toda la protección tecnológica adecuada y se han tomado las medidas organizativas oportunas para determinar de inmediato si se ha producido una violación de seguridad de los datos personales y se ha comunicado sin dilación a la autoridad de control y al interesado.

-A fin de reforzar y armonizar las sanciones administrativas por infracción del Reglamento cada autoridad de control debe estar facultada para imponer multas administrativas. En los casos en los que el presente Reglamento no armoniza las sanciones administrativas, o en otros casos en que se requiera, como en casos de infracciones graves del presente Reglamento, los Estados miembros deben aplicar un sistema que establezca sanciones sanciones efectivas, proporcionadas y disuasorias. La naturaleza dichas sanciones, ya sea penal o administrativa, debe ser determinada por el Derecho de los Estados miembros.

-El Derecho de los Estados miembros debe conciliar las normas que rigen la libertad de expresión e información, incluida la expresión periodística, académica, artística o literaria con el derecho a la protección de datos de este Reglamento.

-El Derecho de los Estados miembros o los convenios colectivos, incluidos los convenios de empresa, pueden establecer normas específicas relativas al tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular en relación a las condiciones en las que los datos personales en el contexto laboral pueden ser objeto de tratamiento sobre la base del consentimiento del trabajador, los fines de la contratación, a la ejecución del contrato laboral, planificación y organización del trabajo, la igualdad y seguridad en el lugar del trabajo, la salud y seguridad en el trabajo, así como a los fines del ejercicio y disfrute, sea individual o colectivo, de derechos y prestaciones relacionados con el empleo y a efectos de rescisión de la relación laboral.

-El tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos debe estar supeditado a unas garantías adecuadas para los derechos y libertades del interesado en conformidad con el Reglamento.

-Se regula además de los derechos de acceso, rectificación y oposición, los derechos de supresión o “derecho al olvido”, según el cual el interesado tendrá derecho a obtener sin dilación indebida del responsable de tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales que ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo.

Es importante destacar la figura del responsable y encargado de tratamiento, regulados en el capítulo IV del Reglamento. 

El responsable de tratamiento es una persona física o jurídica, autoridad pública,  organismo o servicio encargado de determinar los fines o medios de tratamiento de datos. Aplicando las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al presente Reglamento, medidas que se revisarán y actualizarán cuando sea necesario. Cuando sean proporcionadas en relación con las actividades de tratamiento, se deberán aplicar las medidas oportunas incluidas en las políticas de protección de datos. El cumplimiento de las obligaciones por parte del responsable del tratamiento se demostrará en los códigos de conducta oportunos.
En caso de violación de la seguridad de los datos personales, el responsable de tratamiento la notificará a la autoridad de control competente sin dilación indebida, y de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y libertades de las personas físicas.

Los encargados del tratamiento serán los representantes de los responsables de tratamiento, que se encargarán de tratar los datos recopilados por los responsables. Los encargados serán designados por los responsables del tratamiento, y deberá ofrecer las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con los requisitos del Reglamento y garantice la protección de los derechos del interesado.
En encargado deberá tratar los datos personales únicamente siguiendo las instrucciones documentadas del responsable, incluyendo las transferencias de datos personales a un tercer país u organización internacional, garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad, asistirá al responsable, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, para que éste pueda cumplir con la obligación de responder a sus solicitudes, ayudará al responsable a garantizar el cumplimiento de sus obligaciones, pondrá a disposición del responsable toda la información necesaria para garantizar el cumplimiento de las obligaciones, así como permitir y contribuir a la realización de auditorías, incluidas las inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

Otra figura de relevancia es la del Delegado de Protección de Datos, recogida en la sección cuarta del capítulo IV. Será designado atendiendo a sus cualidades profesionales y en particular a sus conocimientos especializados en Derecho y a la práctica en materia de protección de datos. Su designación corresponde al responsable y al encargado de tratamiento. Las funciones del Delegado de Protección de Datos son:

-Informar y asesorar al responsable o al encargado de tratamiento y a los empleados que ocupen del tratamiento de las obligaciones que les incumben en virtud al Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.

-Supervisar el cumplimiento de los dispuesto en el Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados Miembros y de las políticas del responsable o encargado de tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y la formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

 -Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.

-Cooperar con la autoridad de control.

-Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento.

-Deberá desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento.

En cuanto a la evaluación de impacto relativa a la protección de datos, recogida en la sección tercera del capítulo IV, se realizará cuando sea probable que un tipo de tratamiento en particular si utiliza nuevas tecnologías, por su naturaleza, alcance o contexto o fines entrañe un alto riesgo para los derechos y libertades de las personas físicas, llevándose a cabo por el responsable antes del tratamiento. Esta evaluación de impacto es sistemática y exhaustiva respecto a los datos personales, implica un tratamiento a gran escala de categorías especiales y una observación sistemática a gran escala de una zona de acceso público. Deberá incluir descripción sistemática de las operaciones de tratamiento, evaluación de necesidad y proporcionalidad de las operaciones, evaluación de riesgos para los derechos y libertades de los interesados y medidas para afrontar dichos riesgos. El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando la evaluación de impacto relativa a la protección de datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo.

El presente Reglamento también regula los códigos de conducta que serán promovidos por los Estados miembros, las autoridades de control, el Comité y la Comisión. Estos códigos están destinados a contribuir a la correcta aplicación del presente Reglamento, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades de las microempresas y las pequeñas y medianas empresas. De la misma manera también se promoverán mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de este Reglamento.

En cuanto a las autoridades de control se trata de autoridades públicas o independientes que se encargan de supervisar la aplicación del presente reglamento, con el fin de proteger los derechos y libertades fundamentales de las personas físicas en los que respecta al tratamiento y de facilitar la libre circulación de datos personales de la Unión. Serán designadas por cada Estado miembro.

En cuanto al Comité Europeo de Protección de Datos , estará formado por el director de la autoridad de control de cada Estado miembro y por el Supervisor Europeo de Protección de datos o sus respectivos representantes. El Comité garantizará la aplicación coherente del reglamento, asesorando a la Comisión sobre toda cuestión relativa a la protección de datos y emitirá directrices, recomendaciones y buenas prácticas sobre los procedimientos de tratamiento de protección de datos y garantizará la cooperación e intercambios de información entre las autoridades de control.

Es importante destacar el derecho a la tutela judicial efectiva de todo interesado cuando considere que sus derechos en virtud del Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales, acciones que van dirigidas contra el encargado o responsable de tratamiento ante un Tribunal del Estado miembro en el que el responsable tenga su establecimiento.Toda persona que haya sufrido daños o perjuicios materiales o inmateriales como consecuencia de una infracción del presente reglamento tendrá derecho a percibir del responsable o encargado de tratamiento una indemnización por los perjuicios sufridos. 

En cuanto al régimen sancionador, la imposición de multas administrativas deberá ser garantizada por la autoridad de control, multas que ascienden a 20000000 euros como máximo, y tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la mayoría. Estas sanciones también se aplican para los responsables y encargados de tratamiento que incumplieren de forma negligente e intencionada, las disposiciones del presente reglamento respecto a operaciones de tratamiento u operaciones vinculadas.

En definitiva, el presente reglamento pretende reforzar la protección de datos de carácter personal de los ciudadanos, garantizando la seguridad y la privacidad y concienciando a los organismos tanto públicos y privados de respectar la confidencialidad, integridad y disponibilidad de los datos con la imposición de sanciones severas en caso de incumplimiento de las disposiciones reglamentarias, por lo que hemos de llevar a cabo una aplicación estricta de las mismas para no vulnerar los derechos de los interesados.

A continuación un vídeo en el que se explica la importancia de la protección de datos en internet.

 

Comentarios

Publicar un comentario

Entradas populares de este blog

MÉTODO DE ANÁLISIS DE RIESGOS NIST SP 800-30

Imagen
La Seguridad Informática en una empresa es fundamental para evitar intrusiones y accesos inesperados a documentación confidencial que podría comprometer nuestra imagen corporativa y en los peores casos, provocar grandes pérdidas económicas. Por ello es fundamental que nuestra entidad cuente con equipos informáticos seguros, para lo cual es fundamental analizar las amenazas y vulnerabilidades a los que estamos sometidos y el nivel de riesgo que ello implica. Para ello, existen métodos de análisis eficaces, que nos facilitan la tarea de combatir a atacantes que quieren atentar contra la privacidad de nuestros datos. Cabe citar el método de análisis de riesgos NIST SP 800-30 . Este método nació en el seno del National Institute of Standard Technology (Instituto Nacional de Estándares y Tecnología), agencia federal fundada en 1901 para la Administración de Tecnología de Departamento de Comercio de los Estados Unidos. La norma NIST SP 800-30 nace con los siguientes objeti...
Leer más

PRINCIPALES FACTORES DE RIESGO LABORAL EN LA DOCENCIA

Imagen
 En el entorno de la enseñanza podemos estar expuestos a riesgos laborales que pueden poner en peligro nuestra seguridad, en lugares que en principio nos podrían parecer inocuos, como es el caso de las aulas. Por riesgo laboral entendemos aquellos acontecimientos que pueden provocar que un trabajador sufra un determinado daño derivado del trabajo durante el ejercicio de su función. El desarrollo de la actividad docente en las aulas, implica una serie de riesgos para la seguridad y salud de los profesores, que éstos han de conocer.  Éstos son los principales riesgos a los que está sometido un docente en las aulas: -Condiciones de seguridad. Hay que citar el Real  Real Decreto 486/1997, de 14 de abril, por que se establecen las disposiciones mínimas de salud y seguridad en el trabajo , especialmente sus 6 anexos que tratan de las condiciones de seguridad en lugares de trabajo; orden, limpieza y mantenimiento; condiciones medioambientales; iluminación; seguridad hi...
Leer más

AUTOCONTROL Y SUS BENEFICIOS EN EL TRABAJO

Imagen
 El autocontrol se define como la capacidad para dominar los pensamientos, emociones y acciones para desarrollar bienestar y satisfacción en distintas áreas, ya sea en el plano personal, social o laboral. El autocontrol se consigue con tres instrumentos esenciales: 1- Autoobservación: Para cumplir las metas que nos proponemos debemos evaluar nuestras conductas, para lo cual debemos registrar de forma detallada nuestras tareas, al igual que los momentos en que surgen los inconvenientes que interrumpen el ritmo de las actividades, se pierde la concentración y caemos en los errores. De esta forma definimos un conjunto de tácticas para ajustar la conducta a las metas que se han establecido y lograr avanzar hacia el desarrollo personal. 2-  Autorrefuerzo: Administración de recompensas definidas por el individuo. Por ejemplo, al terminar una tarea frotarse las manos diciendo: "Trabajo finalizado". También lo empleamos para ajustar ideas. Por ejemplo, si obtenemos mejores...
Leer más