publicado por probonos.net
El Ilustre Colegio de Abogados de Madrid organizó el día 5 de marzo una ponencia sobre las novedades que trae este Reglamento. En este post, recopilamos las principales claves que tu ONG debe tener en cuenta para adaptarse al nuevo modelo de protección de datos.
Lo primero que tu entidad social debe tener en cuenta es que el 25 de mayo será plenamente aplicable el Reglamento 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Esto hará que la actual LOPD deje de estar en vigor, a la espera de que se apruebe una nueva ley orgánica que recoja la normativa que deberá seguirse a partir del citado mes. Esta cuestión quiso dejarla muy clara José Luis Piñar, ponente en esta sesión y actual Delegado de Protección de Datos en el Consejo General de la Abogacía Española.
Este profesional del Derecho adelantó, también, que el Congreso de Diputados está tramitando actualmente el proyecto de la nueva Ley de Protección de Datos. Se espera que entre en vigor precisamente el 25 de mayo. En caso en que en esta fecha no entre en vigor esta normativa, las entidades sociales deberán atenerse a lo dispuesto en el Reglamento. Por este motivo, es importante conocer la nueva regulación.
Estas dos normativas plantean un nuevo modelo de protección de datos. Tal y como destaca el ponente, se pasa de un modelo de gestión de datos a un modelo de gobierno responsable de la información. Se trata de un modelo en el que debe pensarse en el riesgo que puede generar atendiendo al tipo de ONG y de los datos que maneja.
El citado Reglamento, en su artículo 4, aporta las siguientes definiciones:
• Datos personales. Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
• Tratamiento. Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Este mismo artículo, afirma que los datos personales serán (art. 4 RGPD):
• Tratados de manera lícita, leal y transparente en relación con el interesado
• Tratados con fines determinados, explícitos y legítimos
• Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
• Exactos y, si fuera necesario, actualizados.
De estas consideraciones, debemos tener en cuenta los siguientes aspectos:
• Hay que informar al titular del dato sobre qué se está haciendo con él.
• En cuanto al consentimiento, debe entenderse como el título habilitante que legitima el uso de datos. El titular de los mismos debe dar, de manera expresa, su consentimiento.
• El dato se recoge para una determinada finalidad, esto es, para un objetivo concreto. Es decir, no puede usarse con otro fin siempre que no se haya informado previamente al titular del mismo, y de manera expresa, que podrá ser utilizado de diferente manera. Ejemplo: si se recaban datos con objeto de invitar a una serie de personas a un seminario, esta información sólo podrá usarse para tal fin. En caso en que en la comunicación no se haya indicado expresamente que los datos se podrán utilizar para contactar al titular de los mismos para enviar información general de la ONG, no se podrá hacer esta comunicación debido a que no existe consentimiento expreso por su parte.
• Calidad del dato. No se puede pedir ni más ni menos que la información necesaria para llegar a la finalidad para la que se recaba el dato. Este principio también hace referencia a la situación real del dato, es decir, si está actualizado.
• Seguridad. Si los datos no son tratados de manera segura, se pueden perder y, con ello, el titular pierde el control sobre sus informaciones. Ejemplo: si se guarda información confidencial en un pendrive y este no tiene clave de acceso, este dispositivo se puede perder quedando a disposición de terceros estos datos.
En el artículo 9 del Reglamento se hace referencia al tratamiento de categorías especiales de datos personales. Es decir, datos especialmente protegidos que se refieran a condiciones religiosas o datos sobre la salud de los titulares de los mismos.
Este precepto establece que se podrá hacer uso de estos datos si "el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados".
Con el nuevo Reglamento, se pasa a hablar de responsabilidad proactiva. En su artículo 24 se destaca que, “Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento”.
En este sentido, será el responsable del tratamiento del dato el encargado de identificar los mecanismos más adecuados para asegurar la protección del dato, teniendo en cuenta el tipo de información que se va a manejar.
También se hace referencia a la evaluación de impacto. El artículo 35 establece que “Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales”.
Esta evaluación debe efectuarse, como medio de prevención, antes de recabar los datos de las personas particulares. Sirve para conocer las medidas necesarias para garantizar la adecuada seguridad de las informaciones tratadas.
Los artículos 37 a 39 hacen referencia a una nueva figura que crea esta normativa, el delegado de Protección de Datos. Se trata de alguien encargado de supervisar y ayudar al responsable de seguridad sobre el correcto tratamiento de datos. El primer artículo citado fija las situaciones en las que debe contarse con un delegado.
Este profesional independiente deberá ser designado atendiendo a sus conocimientos profesionales relacionados con la materia jurídica y, especialmente con Protección de Datos. Sus funciones aparecen descritas en el artículo 39 del Reglamento. Se citan, entre otras, asesorar al responsable del tratamiento del dato sobre las obligaciones que debe cumplir o supervisar el cumplimiento de lo dispuesto en el Reglamento.
Como vemos, los cambios que trae este Reglamento son importantes y afectan a todas las organizaciones que traten con datos personales. Recuerda que, si necesitas apoyo legal sobre protección de datos, puedes realizar una petición pro bono desde este enlace.. Nuestra red de Profesionales del Derecho solidarios podrá apoyarte en tu actualización en la normativa de protección de datos.
