LA NUEVA REGULACION DEL CONSENTIMIENTO EN EL TRATAMIENTO DE DATOS PERSONALES

En la publicación de hoy nos centraremos en analizar las nuevas condiciones de tratamiento del consentimiento para el tratamiento de datos personales.

En opinión de MEGAMAIL CONSULTORES la regulación del consentimiento es una de las piedras angulares de una adecuada política de protección de datos

 El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es “inequívoco”, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos. 

Esta es una modificación importante dado que en la normativa anterior no era necesario en todos los casos la prestación de un consentimiento explícito.

Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.

Además, el Reglamento prevé que el consentimiento haya de ser “explícito” en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

Desde nuestra empresa ya se está recomendando en la actualidad recabar el consentimiento de los clientes o usuarios en la mayor parte de los supuestos aunque a día de hoy aun no sea obligatorio, en nuestra opinión esta es una herramienta útil tanto para la empresa como para el interesado que nos cede sus datos y aporta un plus de compromiso con la calidad en la atención.

LAS NUEVAS OBLIGACIONES IMPUESTAS A LAS EMPRESAS II

 

El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos.

La AGENCIA ESPAÑOLA DE PROTECCION DE DATOS estima que no implicará mayores dificultades para las empresas sino un planteamiento en la gestión diferente

En primer lugar, algunas de las medidas que introduce el Reglamento son una mayor obligación de documentar los procedimientos y la obligación de realizar evaluación de impacto y una mayor obligación de  consulta a Autoridades de supervisión.

Otras medidas serán instaurar políticas que tengan en cuenta  la privacidad desde el diseño y por defecto y la evaluación de impacto sobre protección de datos.

Para esto será  necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser operaciones muy simples en entidades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo, datos sensibles, u operaciones más complejas en entidades que desarrollen muchos tratamientos, que afecten a gran cantidad de interesados o que por sus características requieren de una valoración cuidadosa de sus riesgos

En algunos casos se instaura la obligación de nombrar un  un delegado de protección de datos.

En todos los casos, el Reglamento prevé que la obligación de estas medidas dependerá de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos.

 Las Autoridades de protección de datos europeas de forma colectiva, y la Agencia Española individualmente, anuncian que ya trabajan en el desarrollo de herramientas que faciliten la identificación y valoración de riesgos y en recomendaciones sobre la aplicación de medidas, especialmente en relación con pymes que realizan los tratamientos de datos más habituales en la gestión empresarial.

En todo caso en nuestra opinión y como ya  anunciamos en anteriores publicaciones estos nuevos requisitos supondrán un compromiso renovado para las empresas consultoras que deberán adaptar individualmente las nuevas previsiones legales al caso concreto de cada cliente o profesional dado que en función del tipo de datos que se manejen esta nueva reglamentación deberá ser implementada de forma diferente en cada caso.

En todo caso estaremos atentos a las recomendaciones de la AGENCIA ESPAÑOLA DE PROTECCION DE DATOS dado que todo cambio legislativo implica un desarrollo práctico de lo previsto en la ley.