En Mayo de 2016, entró en vigor el Reglamento General de Protección de Datos de la Unión Europea (RGPD). Fue adoptado para sustituir a la Directiva 95/46/EC y así aplicar un único reglamento de protección de datos de carácter personal jurídicamente vinculante para todos los miembros de la unión, dándose un plazo de dos años a las organizaciones afectadas para su adaptación al mismo. Es decir, desde el 25 de Mayo de 2018, el RGPD tomó plena vigencia, quedando derogada la LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (LOPD) y su posterior reglamento aprobado según REAL DECRETO 1720/2007 DE 21 DE DICIEMBRE.

Descubra como afecta el RGPD a su organización y que medidas puede tomar para evitar sanciones accediendo a nuestra zona de descargas.

Puede encontrar mas información la Agencia Española de Protección de Datos (www.agpd.es) o solicitando información en nuestra zona de contacto

En esta ocasión vamos a tratar sobre las bases de legitimación para el tratamiento de datos de carácter personal.

Todo tratamiento de datos de carácter personal debe tener una base que lo justifique o legitime. En cuanto a esto el RGPD recoge cinco bases jurídicas que permiten justificar el tratamiento y que son:

• Relación contractual.
• Intereses vitales del interesado o de otras personas.
• Obligación legal para el responsable.
• Interés público o ejercicio de poderes públicos.
• Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.

Esto significa que las organizaciones deben documentar la base legal que legitima cada uno de sus tratamientos de datos y proporcionar información a los interesados en el momento de recoger los datos de los mismos. Además, las organizaciones deben estar en condiciones de demostrar que han ejercido una responsabilidad activa a la hora de proporcionar esta información a los interesados.

En base a lo anterior, ya no es válida la formula tan común hasta ahora de seguir obteniendo el consentimiento por omisión, ya que este debe “inequívoco”.

CONSENTIMIENTO INEQUÍVOCO

Según la “Guía del Reglamento General de Protección de Datos para responsables de tratamiento” elaborado por la Agencia Española de Protección de Datos, junto a la Agencia Catalana de Protección de Datos y la Agencia Vasca de protección de Datos, y que reproducimos íntegramente:

“El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa.

A diferencia del Reglamento de Desarrollo de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción.”

Hay que tener en cuenta además que, en algunos casos, el consentimiento además de ser inequívoco ha de ser explícito, como, por ejemplo:

• En el tratamiento de datos sensibles.
• En la adopción de decisiones automatizadas.
• En las transferencias internacionales.

Pero ¿qué ocurre con los tratamientos que ya se están realizando y para los cuales se ha obtenido el consentimiento por omisión?. ¿Pueden seguir realizándose?

En este caso es necesario obtener el consentimiento de los interesados para adaptarse a la nueva situación o analizar si el tratamiento en cuestión puede apoyarse en otra base legal que lo legitime.

Descubra como afecta el nuevo reglamento a su organización y que medidas puede tomar para evitar sanciones accediendo a nuestra zona de descargas. Puede encontrar mas información la Agencia Española de Protección de Datos (www.agpd.es) o solicitando información en nuestra zona de contacto

El derecho de acceso es uno de los derechos que tanto la actual Ley Orgánica de Protección de Datos  y Gestión de Derechos Digitales (LOPDGDD) como el Reglamento General de Protección de Datos (RGPD) otorga a los interesados, pero ¿en que consiste?.

Consiste simplemente en que el interesado tiene derecho a conocer si se están tratando o no sus datos personales, en cuyo caso y ante una solicitud de acceso, el responsable del tratamiento o en su caso el encargado del mismo deben informar al interesado sobre el carácter de los tratamientos, pero, ¿exactamente que información hay que aportar?.

INFORMACIÓN QUE SE DEBE APORTAR ANTE UNA SOLICITUD DE ACCESO

Según indica el artículo 15 del RGPD en su apartado 1 que pasamos a transcribir íntegramente, se debe aportar la siguiente información:

“a) los fines del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;

d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;

e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;

f) el derecho a presentar una reclamación ante una autoridad de control;

g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado”.

Tal como indicábamos en el artículo anterior, el plazo para cumplir con el requerimiento del interesado es de 30 días, con las excepciones ya comentadas anteriormente.

PUNTOS A TENER EN CUENTA

• Aunque el ejercicio del derecho es gratuito, el responsable o encargado en su caso, podrá percibir un canon por cualquier otra copia que el interesado solicite. Este canon deberá estar basado en los costes administrativos que supone el aportar al interesado la documentación que solicita.
• Cuando el interesado realice la solicitud por medios electrónicos, la misma se deberá aportar en un formato electrónico de uso común a menos que el interesado solicite que la información se le facilite de otra forma.
• Hay que tener en cuenta que se trata de un derecho personal del interesado, por lo que el responsable del tratamiento o en su caso el encargado del mismo deberá verificar la identidad del interesado para asegurarse de la legitimidad de la petición.

Descubra como afecta el nuevo reglamento a su organización y que medidas puede tomar para evitar sanciones accediendo a nuestra zona de descargas. Puede encontrar mas información en la Agencia Española de Protección de Datos (www.agpd.es) o solicitando información en nuestra zona de contacto