Legislación
Directiva de Protección de Datos
La Directiva Europea 95/46/EC tiene que ver con el tratamiento de datos personales en la UE, y será reemplazado por el RGPD a partir del 25 de mayo del 2018. La Directiva introdujo las normas esenciales que debía implementar cada país miembro de la UE a través de una legislación aparte. Esto le daba a los estados miembros la opción de extender el alcance de la Directiva o mantener las normas preexistentes, o decidir no aprovechar las derogaciones, lo cual explica por qué se aplican diferentes normas de protección de datos a lo largo de toda Europa. Puede encontrarse en línea: https://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_en.pdf
RGPD UE
El Reglamento General de Protección de Datos (RGPD) fue adoptado como Regulación (UE) 2016/679 del Parlamento Europeo y del Consejo el 27 de abril del 2016.
En contraste con la Directiva de Protección de Datos, el RGPD debe aplicarse directamente en cada estado miembro de la UE sin necesidad de implementar legislación adicional, ni crear un marco de trabajo con reglas más detalladas. Ello unifica la legislación a lo largo de toda Europa [ver Ámbito Territorial]. Por ejemplo, el requerimiento de notificar a la APD [ver APD] acerca de un nuevo tratamiento será eliminado (excepto en un número limitado de casos) y reemplazado por la obligación de documentar todos los procesos. Los responsables [ver responsables de tratamiento] y encargados [ver encargados de tratamientos] deben acordar las responsabilidades a ser cumplidas por cada uno de ellos; de no ser así, ambos serán responsables de manera conjunta y grave. El Reglamento puede encontrarse en línea: https://eur-lex.europa.eu/legal-content/ES/TXT/
Directiva de e-Privacidad
La Directiva de e-Privacidad fue adoptada por primera vez como la Directiva 2002/58/EC del Parlamento Europeo y del Consejo. Actualmente controla los derechos de privacidad aplicados a la tecnología de comunicaciones electrónicas y sus contenidos. La Directiva puede encontrarse en línea: https://eur-lex.europa.eu/LexUriServ/LexUriServ.do
Reglamento de e-Privacidad
Después de la entrada en vigencia del RGPD, la Directiva de e-Privacidad será revisada para que cumpla con el RGPD y aborde las innovaciones tecnológicas creadas desde la última enmienda de la Directiva en el 2009. Un borrador de la propuesta de reglamento, titulado “Reglamento en Privacidad y Comunicaciones Electrónicas” fue liberado el 10 de enero del 2017. El reglamento será aplicable a cualquier proveedor de servicios de comunicaciones electrónicas o a cualquier entidad que procese datos en comunicaciones electrónicas. Afectará en la manera en que las organizaciones interactuarán electrónicamente con los ciudadanos UE, incluyendo el seguimiento de usuarios, recolección de datos en dispositivos de los usuarios, y mercadeo directo. El borrador de reglamento y otros documentos relacionados pueden encontrarse en línea: https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications
Organismos RGPD
SEPD
El Supervisor Europeo de Protección de Datos (SEPD) fue establecido en el 2004 con el objetivo de asegurar que las instituciones y entidades de la UE respetaran los derechos de las personas a la privacidad al procesar sus datos personales. En sus funciones principales, el SEPD (1) supervisa el tratamiento de datos personales por parte de la administración UE para asegurar el cumplimiento de las reglas de privacidad, gestionar quejas, y conducir investigaciones; y (2) asesorar a las instituciones y entidades de la UE en todos los aspectos relacionados con el tratamiento de datos personales y sus políticas y legislaciones correspondientes.
El Grupo de Trabajo del Artículo 29
El Grupo de Trabajo del Artículo 29 (“GPA29”) es un ente de protección de datos no regulatorio. Su función principal es ofrecer asesoría experta y hacer recomendaciones a los estados miembros y al público referente a la protección de datos y tratamiento de datos personales. El ente en sí mismo está conformado por representantes de las Autoridades nacionales de Protección de Datos de los países miembros de la UE, del Supervisor Europeo de Protección de Datos (“SEPD”), y de la Comisión Europea. Se ha transformado en la Comité Europeo de Protección de Datos (“CEPD”) bajo el RGPD.
CEPD
El Comité Europeo de Protección de Datos reemplazará al Grupo de Trabajo del Artículo 29, y sus funciones incluirán asegurar la consistencia de la aplicación del RGPD, asesorar a la Comisión UE, impartir lineamientos, códigos de práctica y recomendaciones, acreditar entes certificadores, y emitir opiniones en las decisiones propuestas por las autoridades de control.
APD / Autoridad de Control / Autoridad Principal
APDs son las autoridades nacionales para la protección de datos que tienen como tarea la protección de la privacidad y datos personales. Cada estado miembro debe designar una entidad APD para implementar y hacer cumplir las leyes locales de protección de datos, y ofrecer asesorías al respecto. Las APDs tienen poderes significativos para hacer cumplir las leyes, incluyendo la potestad de aplicar multas substanciales.
Terminología del RGPD
Interesado
El interesado es una persona física. Ejemplos de un interesado pueden ser un individuo, un cliente, un empleado, una persona contacto, etc.
Datos personales
Cualquier información relacionada con un individuo identificado/identificable, ya sea que se relacione con su vida privada, profesional o pública. Puede ser cualquier información desde un nombre, foto, dirección de correo-e, detalles bancarios, publicaciones en redes sociales, información médica, dirección IP, o combinación de los datos que directa o indirectamente identifican a la persona.
Datos personales sensibles
El RGPD se refiere a los datos personales sensibles como una “categorías especiales de datos personales”. La categoría especial de datos incluye origen racial o étnico, opiniones políticas, puntos de vista religiosos o filosóficos, membresía sindical, orientación sexual, y datos de salud, genéticos y biométricos procesados para identificar unívocamente a un individuo. Los datos personales correspondientes a los arrestos y crímenes cometidos no se incluyen, pero se deben aplicar medidas de seguridad similares al ser procesados.
Responsable del tratamiento (Responsable)
Cualquier organización, persona o entidad que determine los propósitos y medios para el tratamiento de datos personales, controle los datos y sea responsable de ello, solo o conjuntamente. Ejemplos donde el responsable del tratamiento es un persona física incluyen médicos generales, farmaceúticos y políticos, donde estas personas físicas conservan información personal acerca de sus pacientes, clientes o votantes, etc. Ejemplos de organizaciones que pueden ser responsables de tratamientos, pueden ser con o sin fines de lucro, privadas o públicas, grandes o pequeñas, las cuales mantienen información personal acerca de sus empleados, clientes, etc.
Encargado del tratamiento (Encargado)
Un encargado del tratamiento trata los datos en nombre del responsable del tratamiento. Ejemplos incluyen empresas de pago de nómina, contadores, y empresas de investigación de mercado.
DPD
El nombramiento de un Delegado de Protección de datos es obligatorio si: (1) el tratamiento es llevado a cabo por una autoridad pública; o (2) las “actividades principales” del responsable/encargado del tratamiento requieren “un seguimiento regular y sistemático de los interesados a gran escala”, o consiste en procesar categorías especiales de datos o datos sobre condenas penales “a gran escala”.
Responsabilidad proactiva
La responsabilidad proactiva es la capacidad de demostrar el cumplimiento con el RGPD. El Reglamento explícitamente establece que es responsabilidad de la organización. Para demostrar cumplimiento, las medidas técnicas y organizacionales apropiadas deben estar implementadas. Las mejores prácticas, tales como evaluaciones de impacto de privacidad y privacidad por diseño ahora son legalmente requeridas bajo ciertas circunstancias.
Consentimiento
Consentimiento es cualquier indicación “dada libremente, específica, informada y no ambigua” de los deseos de una persona física por el cual el interesado, ya sea por una declaración o por una clara acción afirmativa, se muestra de acuerdo en que sus datos personales correspondientes sean tratados para uno o más propósitos específicos.
La acción afirmativa, o el opt-in positive, significa que el consentimiento no puede inferirse del silencio, cajas pre-marcadas, o inactividad. También debe separarse de los términos y condiciones, y tener una manera sencilla de retirarlo. Las autoridades públicas y empleadores deben prestar atención especial para asegurar que el consentimiento es dado libremente.
Los consentimientos existentes no deben ser actualizados automáticamente en la preparación para el RGPD, sino que deben cumplir con el RGPD y ser específicos, granulares, claros opt-in, documentados apropiadamente, y de fácil retirada. Si no, se deben cambiar los mecanismos de consentimiento y establecer un consentimiento que cumpla con RGPD, o buscar una alternativa al consentimiento.
Concepto de tienda de conveniencia
Si un negocio se establece en más de un país miembro, estará bajo la “autoridad de control principal” determinada por el lugar de su “establecimiento principal” dentro de la UE. Una autoridad de control que no es autoridad principal puede tener también un rol regulador, por ejemplo donde el tratamiento afecte los interesados en el país donde la autoridad de control es la autoridad nacional.
Evaluación de Impacto de Privacidad (EIP)
El RGPD impone una nueva obligación de los responsables y encargados de tratamientos de llevar a cabo una Evaluación de Impacto de Protección de Datos (también conocido como Evaluación del Impacto de Privacidad, o EIP) antes de llevar a cabo cualquier tratamiento que presente un riesgo específico a la privacidad de acuerdo con su naturaleza, alcance o propósitos.
Tratamiento
Tratamiento es cualquier operación realizada en los datos personales, tales como creación, colección, almacenamiento, visualización, transporte, uso, modificación, transferencia, borrado, etc., de manera automatizada o no..
Elaboración de perfiles
Elaboración de perfiles es cualquier forma de tratamiento automatizado de datos personales con la intención de evaluar ciertos aspectos personales correspondientes a persona física, o analizar o predecir en particular el rendimiento de la persona en su trabajo, su situación económica, ubicación, salud, preferencias personales, confiabilidad, o su comportamiento.
Ámbito territorial
El ámbito territorial del RGPD incluye el Área Económica Europea (AEE – todos los 28 países miembros UE), Islandia, Liechtenstein, y Noruega, y no incluye a Suiza.
Tercero
Un tercero es cualquier persona física o legal, autoridad pública, agencia, o cualquier otra entidad diferente al interesado, responsable, encargado y de las personas que, bajo la autoridad directa del responsable o encargado, están autorizadas a tratar los datos.
Transferencia
La transferencia de los datos personales a países fuera del AEE o a organizaciones internacionales está sujeta a restricciones. Tal como se establece en la Directiva de Protección de Datos, los datos no necesitan ser transportados físicamente para que se haga la transferencia. Visualizar los datos alojados en otra ubicación es considerado transferencia para los propósitos del RGPD.