Carpeta de justicia

LawAndTrends



Se están escribiendo ríos de tinta sobre el Reglamento Europeo de protección de datos, las novedades que supone, las obligaciones que hay que cumplir, la necesidad de adaptarse o las consecuencias del incumplimiento.

 

El hecho de que se escriba tanto sobre esta cuestión obedece, en parte, a que el Reglamento Europeo se ha redactado siguiendo el modelo anglosajón, lo que determina que se fijan en el mismo claramente los objetivos que deben alcanzar quiénes traten datos personales de otras personas físicas, pero no concreta los medios, formas o instrumentos que deben emplearse para ello.

No pretendemos en este artículo hacer un examen exhaustivo de todas las novedades que implica el Reglamento Europeo de protección de datos, pero sí comentar algunas cuestiones particulares que han de ser tenidas en cuenta.

Un consentimiento expreso por cada fin al que se destinen los datos recabados

La nueva normativa exige que el titular de los datos deba consentir expresamente todos y cada uno de los fines a los que se destinarán por la persona o entidad que los recabe.

Por tanto, ya no cabe la posibilidad de entender prestado el consentimiento por inacción o falta de oposición expresa y, además, es necesario que el titular de los datos firme un documento independiente por cada fin al que se destinen los datos.

De esta forma, si los datos se destinan únicamente a la gestión de la relación contractual existente entre las partes, bastará con la firma del correspondiente contrato. Pero si los datos también se destinan, por ejemplo, a fines de comunicaciones comerciales, envío de encuestas de satisfacción o participación en sorteos o promociones, será preciso que el titular de los datos firme un documento independiente para cada fin.

Delegado de Protección de Datos ¿qué se entiende por tratamiento a gran escala?

Uno de los supuestos en los que una empresa está obligada a designar Delegado de Protección de Datos es aquel en el que se tratan a gran escala datos sensibles (salud, ideología, datos biométricos, etc.) o se tratan datos de interesados a gran escala.

El Reglamento no define qué se entiende por gran escala, aunque la Agencia de Protección de Datos recomienda que se entienda por tal el tratamiento de los datos personales de más de 10.000 personas, si bien matizando esta cifra, en todo caso, a la vista del ámbito territorial en el que opera dicha entidad.

En este sentido, puede ocurrir, por poner un ejemplo, que una entidad ubicada en una población de 15.000 habitantes trate datos de 9.000 personas de dicha población. En este caso, aunque no se alcanza el umbral de 10.000 personas, sí estaríamos ante un supuesto de tratamiento a gran escala puesto que se tratarían datos de un número muy elevado de personas de dicha población.

En todo caso, es una situación que puede generar controversia, por lo que, ante la duda, procede designar Delegado de Protección de Datos.

¿Qué pasa con los curriculum que se reciben?

Resulta frecuente que las empresas reciban físicamente o través de e-mail o de su página web los curriculum de aquellos candidatos que pretenden optar a un puesto de trabajo en la entidad.

Parece lógico entender que, si una persona te entrega o envía su curriculum, lo hace de forma voluntaria y consentida. No obstante, puesto que el nuevo Reglamento exige consentimiento expreso, en todo caso, resulta indispensable proceder de la siguiente forma:

- Si el curriculum se entrega en persona por el interesado, deberá firmar el correspondiente documento en el que se le informará del fin al que se destinarán sus datos (proceso de selección para vacantes de puestos de trabajo), el tiempo que se conservarán sus datos, los derechos que le asisten en materia de protección de datos, etc.

- Si el curriculum se entrega vía e-mail, habrá de contestarse al interesado por la misma vía (con acuse de recibo y de lectura del correo electrónico enviado) incluyendo toda la información sobre protección de datos que se le daría si entregara el curriculum en persona.

- Si el curriculum se entrega a través de la página web, en este caso, en la propia web deberá ofrecerse toda la información al interesado y solicitar su consentimiento expreso, que deberá prestar.

Proactividad: obligación de notificar a la Agencia las incidencias producidas

La última novedad que vamos a comentar es la relacionada con la obligación que impone la nueva normativa relativa a que cuando se produzca alguna violación de la seguridad de los datos personales, la entidad que los trata (responsable del tratamiento) deberá obligatoriamente notificarlo de inmediato a la Agencia de Protección de Datos y, en todo caso, en un plazo máximo de 72 horas.

La única excepción a esta obligación de comunicación estaría en que sea improbable que la violación de la seguridad de los datos personales suponga un riesgo para los derechos de los titulares de los datos afectados.

Por el contrario, si la violación de los datos personales puede suponer un riesgo alto para los derechos de sus titulares, la entidad que los trata no solo deberá comunicarlo a la Agencia de Protección de Datos sino que, además, deberá informar inmediatamente al propio interesado.

En definitiva, quedan muchos aspectos y cuestiones por definir por lo que resulta aconsejable, en caso de duda, optar siempre por la opción más conservadora y protectora de los datos personales de entre todas las que tengamos a nuestra disposición.

Asimismo, habrá que ver si la nueva Ley Orgánica española de protección de datos permite cubrir las lagunas del Reglamento Europeo, aunque, de momento, la citada Ley está tramitándose en las Cortes Generales y no parece probable que pueda ser aprobada hasta finales del presente año 2018 o incluso el primer semestre de 2019.




No hay comentarios.


Hacer un comentario

He leido y acepto los términos legales y la política de privacidad