publicado por probonos.net
Hoy entra en vigor la nueva normativa que regula el tratamiento que debe adoptarse a la hora de gestionar datos personales. Nuestra abogada colaboradora Rocío Cabral ha elaborado este informe donde tu ONG podrá conocer las obligaciones que deberá tener en cuenta.
Un post de Rocío Cabral, Abogada y colaboradora en Probonos.net
A partir de ahora, no existe obligación de inscribir y notificar los ficheros de datos. En cambio, los responsables de los datos, deben adoptar las medidas necesarias para evaluar los riesgos que conlleva un mal uso de los datos que maneja, y las medidas necesarias para que ese mal uso no se produzca. Dentro del concepto de "mal uso" debemos incluir la utilización de los datos por terceros no autorizados por el responsable, o su uso para fines no especificados de forma clara e inequívoca cuando se ha solicitado el consentimiento del titular de los datos.
Las medidas a aplicar irán en función del riesgo que comporten los datos que se gestionan.
LOS DATOS
El Reglamento General de Protección de Datos distingue dos categorías especiales de datos, a los que se da mayor protección:
* Datos genéticos: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionan una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica.
* Datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de esta persona (imágenes faciales, datos dactiloscópicos, etc).
EL CONSENTIMIENTO
Debe ser inequívoco, es decir, claramente manifestado de forma independiente, directa y tras una información detallada y minuciosa. Es recomendable que sea expreso cuando de los actos y manifestaciones del titular de los datos se desprenda que conoce los aspectos que tiene que conocer y que los acepta y autoriza.
Estos son los aspectos esenciales que deben conocerse al prestar el consentimiento:
* Interés legítimo de quien va a obtener y manejar sus datos (justificación) y su base legal
* Qué datos suyos vamos a manejar
* Quién va a manejar esos datos: Responsable y autorizados por éste, cesionarios en su caso,..
* Para qué los vamos a utilizar, con el mayor detalle posible
* Dónde se van a almacenar y utilizar
* Hasta qué fecha van a conservarlos
* Derechos del interesado
Además de inequívoco, el consentimiento debe ser expreso en estas situaciones:
* Tratamiento de categorías especiales de datos
* Adopción de decisiones automatizadas
* Transferencias internacionales
Los menores de edad solo pueden prestar consentimiento válido si tienen más de 16 años.
LOS DERECHOS
Se mantienen los vigentes, siendo los principales el de información, retirada del consentimiento, limitación del mismo y desistimiento, o portabilidad de datos
Derecho al olvido: es un derecho incorporado por el Reglamento General de Protección de Datos (RGPD). Los titulares pueden ejercerlo, salvo algunas excepciones como interés público o libertad de expresión o información, cuando:
* Los datos ya no sean necesarios para la finalidad para la que fueron recogidos
* Se revoque el consentimiento en el que se basaba el tratamiento.
* El interesado se oponga al tratamiento
* Los datos se hayan tratado ilícitamente
* Los datos se hayan obtenido en relación con la oferta de servicios de la sociedad de la información dirigidos a menores
Los responsables establecerán vías sencillas y accesibles para el ejercicio de los derechos por parte de los titulares de los datos e interesados, debiendo ser siempre gratuito.
OBLIGACIONES FORMALES DEL RESPONSABLE O EL ENCARGADO DEL TRATAMIENTO DE DATOS
* Las entidades con más de 250 trabajadores deben llevar un registro de las actividades que realizan en el uso que hacen de los datos
* Encargo de tratamiento: si el responsable de los datos quiere autorizar a un tercero (encargado) el tratamiento de datos, deben firmar un contrato de encargo. El RGPD incorpora nuevas responsabilidades de los encargados de tratamiento de datos, delimitando las suyas respecto de las del responsable.
* Realizar evaluación de impacto: cuando es probable que el tratamiento, por las características especialmente sensibles de los datos, el volumen que se maneja o por su uso en Internet por ejemplo, suponga un alto riesgo, es necesario que el responsable realice una evaluación del impacto de sus operaciones de tratamiento de datos.
Si al evaluar el riesgo resultara que el tratamiento puede ser contrario al RGPD, el responsable deberá realizar una consulta a la autoridad de protección de datos para que se pronuncie sobre si puede seguir realizándolo o si debe adoptar medidas para su adaptación al Reglamento.
* Se prevé la elaboración de códigos de conducta y mecanismos para certificar el cumplimiento.
* Delegado de Protección de Datos: es necesario contar con uno en caso de ser autoridad u organismo público, cuando el tratamiento requiera observación habitual y sistemática de interesados a gran escala o cuando tenga por objeto categorías especiales de datos personales o relativos a condenas o infracciones penales.
* Realizar análisis de riesgo: Es un documento que debe contener el análisis sobre algunos aspectos, como las características de los datos que se tratan, el uso que se les da, la cantidad de personas que ceden sus datos, terceros que pueden verse afectados por el tratamiento, finalidades, utilización de tecnologías invasivas para la privacidad como geolocalización, cámaras, etc..Debe contener las medidas que se adoptan para la protección de los datos, relativas a su almacenamiento, y modo de tratarlos (encriptación, contraseñas, lugares idóneos para su conservación,..).
* Obligación de notificar una violación en la seguridad de los datos: el responsable dispone de 72 horas desde que tiene conocimiento de que la seguridad ha podido ser vulnerada, para comunicarlo a la autoridad. Si existe probabilidad de alto riesgo, también debe comunicarse a los interesados a la mayor brevedad de forma clara.
La imagen es de mohamed_hassan en Pixabay
