La seguridad y los menores de edad según el nuevo Reglamento UE

Continuamos con las novedades del nuevo Reglamento UE sobre protección de datos en tres aspectos muy importantes:

Seguridad en la red y de la información obtenida

El nuevo reglamento de Protección de Datos recoge la capacidad de prevenir y minimizar riesgos derivados del tratamiento de la información al afirmarse que: “Constituye un interés legítimo del responsable del tratamiento en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información” de forma que se garanticen la “disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos”. Por consiguiente, el responsable debería ser capaz de impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de «denegación de servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas.

Menores de edad

Aquí se produce otra novedad en el nuevo reglamento de protección de datos en relación con la oferta directa a niños de servicios de la sociedad de la información.

El tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años y haya prestado su consentimiento. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento se presta por parte del titular de la patria potestad o tutela sobre el niño, y sólo en la medida en que se dio o autorizó.

Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que ésta no sea inferior a 13 años.

El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.

Régimen sancionador

En el nuevo reglamento de protección de datos se modifica de sustancialmente el régimen sancionador de la actual LOPD. Dispone sanciones muy severas contra los responsables o encargados del tratamiento que infrinjan las normas de protección de datos, imponiendo multas de hasta 20 millones de euros o el 4% de su volumen de negocios total anual.

Las autoridades de protección de datos nacionales serán las que impongan estas sanciones administrativas.

Si las sanciones administrativas se imponen a personas que no son una empresa, la autoridad de control debe tener en cuenta al valorar la cuantía apropiada de la sanción el nivel general de ingresos prevaleciente en el Estado miembro así como la situación económica de la persona.

Recordemos que la LOPD la cuantía de las sanciones obedecían solo a la tipificación de la sanción y no contemplaba la situación económica del sancionado aunque se tenía en cuenta una cierta graduación introducida por la Ley de Economía Sostenible de 2011.

Y ojo, ya que la responsabilidad empresarial afecta a todas las que usen datos de terceros y, por tanto, la responsabilidad se amplía a todas las compañías que usan datos de terceras personas, lo que implica que afecta también a los modelos de negocio basados en la nube.

transparencia y consentimiento

Seguimos comentando el Reglamento UE sobre protección de datos

Lo más destacable respecto a la licitud en el tratamiento de datos personales es que se exige mayor claridad en las cláusulas informativas de los servicios digitales y en las políticas de privacidad, en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Si tienes una web, debes de tener en cuenta que se exige máxima transparencia de cara al usuario.

En cambio sí es importante destacar la necesidad de “consentimiento claro y afirmativo”. En el nuevo reglamento de protección de datos, se refuerza la necesidad del consentimiento de la persona concernida al tratamiento de sus datos personales, algo que ya recoge la actual LOPD, pero que el nuevo reglamento subraya.

El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal.

Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Además, se insiste en la necesidad de acreditar tal consentimiento por parte del responsable del fichero/tratamiento.

Todo ello en detrimento del consentimiento tácito tan habitual en España pero que en el resto de países europeos no entienden que se convierta en regla general. No basta el silencio ni la omisión.

Privacy by design

Una de las características más relevantes del nuevo Reglamento de protección de datos es la privacidad por diseño.

Por este principio se exige que el responsable lleve a cabo, antes del tratamiento, una evaluación de impacto relativa a la protección de datos. Esta evaluación debe valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo.

El responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto.

Dichas medidas podrían consistir, entre otras en:

• Reducir al máximo el tratamiento de datos personales.
• Aplicar procedimiento de disociación a los datos personales lo antes posible.
• Dar transparencia a las funciones y el tratamiento de datos personales.
• Permitir a los interesados supervisar el tratamiento de datos.
• Crear y mejorar elementos de seguridad.

Se debe tener en cuenta especialmente el derecho a la protección de datos cuando se desarrollan y diseñen productos, servicios y aplicaciones, de manera que los responsables y los encargados del tratamiento se aseguren de estar en condiciones de cumplir sus obligaciones en materia de protección de datos.

En paralelo con este principio de privacy by design se suprime la obligación de notificar ficheros a la AEPD.

La Directiva 95/46/CE había establecido la obligación general de notificar el tratamiento de datos personales a las autoridades de control, sin embargo, esta obligación no contribuyó en todos los casos a mejorar la protección de los datos personales ya que la notificación creaba la falsa creencia de cumplimiento y muchas empresas se limitaron a realizar un simple trámite, sin mejorar en nada sus medidas de seguridad.

Por tanto, en el nuevo reglamento de protección de datos, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas.

Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial.

Aspectos más significativos del Reglamento UE

Tras años de espera, ya tenemos Reglamento Europeo de Protección de Datos. Esta nueva normativa será de aplicación a todos los estados miembros y entrará en vigor en un plazo de dos años, esto es, en abril de 2018. Por primera vez habrá un marco homogéneo de seguridad jurídica en todo el continente y, por tanto, contaremos con una norma común a todos los Estados miembro.

Los aspectos más significativos que destaco de la nueva norma comunitaria son:

• Se garantiza el derecho al “olvido”, mediante la rectificación o supresión de datos personales, ya reconocido por el TJUE pero que encuentra así acomodo legislativo. 
• Se deberá contar con consentimiento claro y afirmativo de la persona concernida al tratamiento de sus datos personales, bien mediante cláusula contractual en contrato de servicios, bien mediante documento de consentimiento para el tratamiento de sus datos.
• Derecho a trasladar los datos personales a otro proveedor de servicios o derecho a la portabilidad de datos. 
• Una mayor protección a los menores –será potestad de cada Estado fijar la edad límite entre 13 y 16 años–, al exigir la autorización de padres o tutores para poder utilizar servicios telemáticos, debiendo las empresas establecer mecanismos técnicos para verificación de la edad real de cada usuario. 
• Derecho a ser informado si los datos personales han sido pirateados o sustraídos por ciberdelincuentes. 
• Lenguaje claro y comprensible sobre las cláusulas de privacidad. 
• Se impone la privacidad a medida –privacy by design–, es decir, tener en cuenta el impacto en la privacidad de los usuarios desde el primer momento en que se realiza el tratamiento, de cara a ofrecer siempre garantías de protección de los derechos de los usuarios implementando las medidas adecuadas en cada caso. 
• Multas de hasta el 4% de la facturación global de las empresas en caso de infracción. 
• Se introduce la figura del Delegado de Protección de Datos. 
• La nueva normativa agilizará considerablemente la carga burocrática, reduciendo los trámites a los que se enfrentan las empresas, sobre todo los autónomos y pymes. Además, unificará las normativas actuales que hay en cada país miembro, lo que mejorará el tráfico transfronterizo de productos y servicios en el Mercado UE.

Desarrollaremos algo estos puntos en sucesivos posts.