03_PROTECCION_DATOS_PERSONALES.docx

Full Transcript

PROMOCIÓN VERTICAL: PROCESO SELECTIVO PARA PROVEER PLAZAS EN EL NIVEL 4 DEL GRUPO ADMINISTRATIVO Protección de datos personales División de Formación, Desarrollo y Comunicación Interna Banco de España C/ Alcalá, 48 28004 Madrid © Banco de España. Todos los derechos reservados Protección de datos personales Recursos pedagógicos incluidos en el material didáctico 2 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales Protección de datos personales División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales Unidad 1 Normativa de Protección de Datos de Carácter Personal Índice Unidad 1 Normativa de Protección de Datos de Carácter Personal Introduction 11 Objectives 13 Ámbito de aplicación y principios 15 Legislation 15 El RGPD y su aplicación directa 17 Objeto y ámbito de aplicación 18 Objector 18 Ambato de application material 18 Ámbito de aplicación territorial 18 Datos personales 19 Seudonimización Vs anonimización 19 Datos genéticos y biométricos 20 Principios relativos al tratamiento de datos personales 21 El Consentimiento 23 Licitud en el tratamiento 25 Legitimidad en el tratamiento 25 Datos especialmente protegidos 26 Referencias especiales en la licitud del tratamiento 27 Derechos del interesado 29 Cuestiones generales 29 Derecho a la información 30 Derecho de acceso 34 Derecho de rectificación 35 Derecho de supresión 35 Derecho de limitación del tratamiento 36 Derecho de portabilidad 37 Derecho de oposición 38 Derecho a limitar las decisiones individuales automatizadas 39 Normativa de Protección de Datos de Carácter Personal UNIDAD DIDÁCTICA 1 Accountability o principio de Responsabilidad Proactiva 40 Principio de Accountability o de Responsabilidad Proactiva 40 Enfoque de aproximación al Riesgo 41 Medidas de Responsabilidad Proactiva 43 Registro de actividades 43 Privacidad por defecto y privacidad por diseño 45 3.2.3 Medidas de seguridad técnicas y organizativas 46 Brechas de seguridad 47 Evaluación de impacto 49 Autorización previa o consultas previas con la autoridad de control 50 El órgano de control y el delegado de protección de datos 51 Códigos de conducta y entidades de certificación 51 Terceros intervinientes y los códigos de conducta y certificación 52 Corresponsables y representantes no establecidos en la UE 52 El encargado de tratamiento 54 El delegado de protección de datos 55 Códigos de conducta y entidades de certificación 59 Transferencias internacionales, las autoridades de control y el procedimiento sancionador 62 Transferencias internacionales de datos 62 Las autoridades de control 65 El procedimiento sancionador 66 La protección de datos en el Banco de España 71 Introducción 71 Normativa aplicable en el Banco de España 71 Funciones y obligaciones del personal del Banco de España 72 Responsable del tratamiento 72 Responsable funcional 72 Delegado de protección de datos 72 Unidad de Riesgos y Seguridad de la Información 73 Secreto profesional y deber de confidencialidad 73 Licitud en el tratamiento de los datos en el Banco de España 74 Ejercicio de derechos en el Banco de España 74 8 División de Formación, Desarrollo y Comunicación Interna - PV Nivel 4 - Protección de datos personales 6.5.1 Las cláusulas informativas y de consentimiento expreso 74 6.5.2 Procedimiento para la solicitud del ejercicio de derechos 75 6.6 Medidas de Responsabilidad Proactiva en el Banco de España y aproximación al riesgo 76 6.6.1 El registro de actividades de tratamiento 76 6.6.2 Privacidad por defecto y privacidad por diseño 76 6.6.3 Medidas de seguridad en el Banco de España 77 6.6.4 Notificación de brechas de seguridad en el Banco de España 78 6.6.5 El Análisis de riesgos y la Evaluación de impacto 78 6.7 Encargado de tratamiento 79 6.8 Formación 80 Introducción El derecho a la protección de datos personales deriva directamente del derecho fundamental a la intimidad, recogido en la Constitución Española. La legislación española, sobre protección de datos de carácter personal, garantiza y protege a los ciudadanos sus derechos fundamentales, en lo concerniente al tratamiento de datos personales, especialmente de su honor e intimidad personal y familiar. Asimismo, el marco legislativo europeo también reconoce este derecho y obliga a todos los Estados Miembros a garantizarlo a sus ciudadanos. En concreto se ha aprobado el Reglamento (UE) 2016/ 679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), de aplicación directa en toda la Unión Europea desde el 25 de mayo de 2018. La normativa española de protección de datos estaba integrada fundamentalmente por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) y el RD 1720 de 21 de diciembre Reglamento desarrollo de la LOPD (en adelante RLOPD), sin embargo, tras la aprobación del RGPD se ha procedido a modificar la normativa de protección de datos española a través de la Ley Orgánica 3/2018 de 5 de diciembre, de protección de datos de carácter personal y garantías de derechos digitales (en adelante LOPDGDD) quedando derogada la antigua LOPD. A todos los ciudadanos nos compete conocer y respetar la normativa de protección de datos. Objetivos Al finalizar esta unidad didáctica los alumnos serán capaces de: Conocer el contenido esencial de la legislación que afecta al territorio español y a la Unión Europea en materia de Protección de Datos de Carácter Personal. Identificar el grado de responsabilidad, los deberes y obligaciones de las personas implicadas e intervinientes en el proceso de tratamiento de los datos de carácter personal, Establecer las medidas técnicas y organizativas que son necesarias implantar para que los tratamientos de datos se realicen conformes a la normativa de protección de datos. Conocer los derechos de los que disponemos los ciudadanos sobre el tratamiento que se realice sobre nuestros datos personales. Conocer las especificaciones adoptadas por el Banco de España en cuanto al cumplimiento de la ley. 1 Ámbito de aplicación y principios 1.1 LegisLación El derecho a la protección de datos personales deriva directamente del derecho fundamental a la intimidad, recogido en el artículo 18.4 de la Constitución Española, y reconocido por el Tribunal Constitucional en la STC 292/2000. El fundamento quinto de dicha sentencia confirma la interpretación conforme a la cual el art. 18.4 de la CE incorpora un nuevo derecho fundamental a la protección de datos, que atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos. Siguiendo la sentencia 292/2000 en su fundamento jurídico sexto, el objeto de protección del derecho a la protección de datos alcanza «cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es solo la intimidad individual, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que, por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la Protección de datos». Además continua la sentencia «los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo». Estamos por tanto ante un derecho fundamental recogido por nuestra Constitución Española y reconocido por el Tribunal Constitucional, desarrollado por el Reglamento Europeo General de Protección de Datos y por la reciente Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales. Asimismo, el marco legislativo europeo también reconoce este derecho a la protección de datos y obliga a todos los Estados miembros a garantizarlo a sus ciudadanos. El artículo 8, de la Carta de los Derechos Fundamentales de la Unión Europea en sus apartados 1 y 2 establece: Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. Por otro lado, el artículo 16 del Tratado de Funcionamiento de la Unión Europea en sus apartados 1 y 2 establece: Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento legislativo ordinario, las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos. El respeto de dichas normas estará sometido al control de autoridades independientes. Se trata por tanto de un derecho que tiene toda persona, sin importar la nacionalidad o residencia, a la protección de los datos de carácter personal que la conciernan. Por su parte la Unión Europea ha desarrollado este derecho a la protección de datos a través de diversas directivas1 como la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. A través de esta, se pretendió armonizar la protección de los derechos y las libertades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos de carácter personal, y garantizar la libre circulación de estos datos entre los Estados miembros. Sin embargo, la transposición por los Estados miembros de la Directiva 95/46/CE en el territorio de la Unión se hizo de manera fragmentada, con diferencias en el nivel de protección de los derechos y libertades de las personas físicas, y en particular del derecho a la protección de los datos de carácter personal, impidiendo la libre circulación de los datos de carácter personal en la Unión. Estas diferencias, han constituido un obstáculo al ejercicio de las actividades económicas dentro de la Unión, pudiendo falsear la competencia e impedir que las Autoridades competentes cumplan las funciones que les incumben en virtud del Derecho de la Unión. Estas divergencias, así como la obsolescencia tecnológica de la Directiva 95/46, provocan que en el año 2012 la Comisión Europea presente un proyecto de propuesta de Reglamento de Protección de Datos General, confirmando así la necesidad de una reforma a gran escala de la normativa de protección de datos. A raíz de las numerosas enmiendas al proyecto de la Comisión propuestas por el Parlamento Europeo en el año 2014, se pasó la propuesta al Consejo de la UE y se inició durante el año 2015 entre la Comisión, el Parlamento y el Consejo un proceso de negociación conocido como el diálogo a tres bandas, para finalmente obtener una versión final del Reglamento a finales de 2015. Finalmente, el pasado 14 de abril de 2016 el Parlamento Europeo dio el visto bueno definitivo a la normativa europea de protección de datos tras un largo proceso legislativo de más de cuatro años, que concluye con la aprobación del REGLAMENTO (UE) 2016/ 679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD). Se reforma por tanto con el RGPD la normativa de protección de datos europea, estableciendo nuevas reglas que sustituyen el antiguo marco regulatorio de la Unión Europea en materia de protección de datos. La técnica legislativa del Reglamento utilizada por la UE para regular la protección de datos supone una aplicación directa del mismo a todos los Estados Miembros de la UE sin necesidad de que sea transpuesto por las normas nacionales de los Estados. Por tanto, el RGPD deroga y sustituye a la Directiva 95/46/CE reforzando el derecho de la protección de datos de la Unión Europea, que se constituye como un pilar básico de las garantías y libertades en Europa. A través del RGPD se consigue armonizar en todos los Estados miembros de la UE la dispersión normativa existente hasta entonces en materia de protección de datos. El RGPD por tanto es una norma única de aplicación directa a todos los Estados cuyo objetivo principal es otorgar un mayor control a los ciudadanos europeos sobre su información privada, y permitir una aplicación uniforme en toda la Unión Europea con el objetivo de alcanzar un nivel de protección de datos razonable en todo el territorio de la UE que evite la aplicación las diferentes normativas de cada Estado miembro. El derecho a la protección de datos es un derecho fundamental recogido en la Constitución Española en el art.18.4 y reconocido por el Tribunal Constitucional. Se trata de un derecho a la protección de los datos de carácter personal que le conciernan. El RGPD es de aplicación directa sin necesidad de que sea transpuesto por las normas nacionales de los Estados. 1.2 eL RgPD y su aPLicación DiRecta Conforme el art. 99 del RGPD el mismo entró en vigor a los 20 días de su publicación en el Diario Oficial de la Unión Europea, es decir el 24 de mayo de 2016, sin embargo, solo fue directamente aplicable y obligatorio en todos sus elementos en cada Estado Miembros a partir del 25 de mayo de 2018. Por tanto, los Estados Miembros y sus respectivas Autoridades de Control, dispusieron de un periodo de 2 años para su maduración, preparación, aplicación e interpretación de los distintos derechos y obligaciones que establece. Esto supone, que las leyes nacionales de protección de datos han dejado de ser aplicables en la medida en que se opongan al contenido del Reglamento. Por otro lado, en la medida en que el RGPD establece que sus normas deben ser especificadas o restringidas por el Derecho de los Estados miembros, es necesaria la incorporación al Derecho nacional de diversos elementos del RGPD en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios. Siguiendo estas directrices marcadas por el RGPD, el Ministerio de Justicia redactó un Proyecto de Ley Orgánica de Protección de Datos en España que fue aprobado el pasado 5 de diciembre de 2018, con el objeto de modificar dicha norma en todos aquellos aspectos en los que no se oponga al contenido del Reglamento y por tanto introduzca aquellos elementos necesarios del RGPD que permita una mejor comprensión para los ciudadanos españoles. Así mismo, el RGPD está siendo estudiado por la Agencia Española de Protección de Datos en conjunto con diversas Asociaciones y Operadores sectoriales para la elaboración de guías de trabajo que faciliten la aplicación y comprensión del RGPD en España (las guías de trabajo se pueden encontrar en www.aepd.es). Esta misma tarea la realiza el Grupo de Trabajo 29 (Actualmente Comité Europeo de Protección de Datos (CEPD, en adelante el Comité) compuesto por representantes de las autoridades nacionales de protección de datos y del Supervisor Europeo de Protección de Datos, de tal manera que determinados conceptos que hayan podido quedar indeterminados o de difícil interpretación podrán ser abordados y estudiados para su correcta aplicación e implantación en la Unión Europea.  El RGPD entró en vigor el 24 de mayo de 2016 pero es de aplicación obligatoria para todos los Estados miembros desde el 25 de mayo de 2018. 1.3 Objeto y ámbito De aplicación 1.3.1 Objeto El objeto del RGPD es la protección de los derechos y libertades fundamentales de las personas físicas, y la libre circulación de datos personales en territorio de la UE, no pudiendo ser restringida ni prohibida. La protección se otorga a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, y en relación con el tratamiento de sus datos personales. 1.3.2 Ámbito de aplicación material Conforme el art. 2 del RGPD, y al igual que en la normativa española, el RGPD es aplicable tanto al tratamiento automatizado como al tratamiento manual, siempre y cuando estos últimos estén estructurados con arreglo a unos criterios específicos de organización. Por otro lado, también se mantienen las mismas actividades de exclusión que en la normativa española como son las actividades domésticas o las destinadas a la seguridad nacional. A este respecto merece especial atención el considerando 18 del RGPD que establece como actividades personales o domésticas la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades domésticas. Por último, aunque en el considerando 27 se excluye del ámbito de aplicación del RGPD a las personas fallecidas, también se habilita a los Estados miembros para regular el tratamiento de sus datos. Y esto es, de hecho, lo que decidió hacer el legislador español en la nueva Ley Orgánica, que en su artículo 3 establece ciertas medidas a este respecto. Así, los herederos, tutores o representantes legales, las personas vinculadas al fallecido por razones familiares o de hecho y cualquier otra persona -física o jurídica- a la que el fallecido haya autorizado previamente para ello podrán ejercitar los derechos de acceso, rectificación o supresión de los mismos en nombre de éste. Se establece una excepción, eso sí, para el acceso a datos que el causante hubiera prohibido expresamente o cuando así lo establezca una ley, siempre que no sean de carácter patrimonial, puesto que son necesarios para continuar con los trámites de herencia. 1.3.3 Ámbito de aplicación territorial Con el fin de garantizar que las organizaciones no europeas no puedan evitar la aplicación de la normativa de protección de datos simplemente por encontrarse fuera de la UE, el RGPD introduce a través de su art. 3 una nueva disposición para considerar aplicable el mismo a las organizaciones o empresas extranjeras que ofrezcan productos o servicios a ciudadanos europeos. De esta manera se reemplaza el criterio de medios por el de servicios. Recientemente tribunales y reguladores de la Unión Europea han manifestado su apoyo a una interpretación amplia de la norma relativa a la aplicabilidad de la ley europea que incorpora el RGPD. De esta manera, si una organización no establecida en la UE está procesando los datos personales de ciudadanos de la UE en actividades relacionadas con la oferta de productos o servicios a dichas personas, o realizando un seguimiento, monitorización y estudio del comportamiento (como por ejemplo el seguimiento a través de Cookies) deberá cumplir plenamente con el contenido del RGPD. Será por tanto aplicable el RGPD a toda empresa extranjera que, aunque no tenga «equipos informáticos o medios» situados en la UE, realice una actividad real orientada de forma deliberada a personas o ciudadanos ubicados en la UE. Finalmente, como veremos más adelante, para estos casos será necesario designar un representante en la Unión Europea que atienda las cuestiones relacionadas con la Protección de Datos de los titulares de los datos o interesados europeos, así como cualquier requerimiento de las Autoridades de Control. Es aplicable a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, y en relación con el tratamiento de sus datos personales. No aplica a las Personas jurídicas, pero sí a las personas físicas que presten servicios en aquellas. Tampoco se aplica a las actividades personales o domésticas, ni a las personas fallecidas. A las personas fallecidas se les aplica solo en lo relativo al ejercicio de los derechos de acceso, rectificación y supresión por parte de las personas autorizadas. Las organizaciones no establecidas en la UE que ofrecen bienes o servicios a ciudadanos EU, o que vigilan su comportamiento se encuentran dentro del ámbito de aplicación del RGPD. 1.4 Datos Personales A través del artículo 4 apartado 1 del RGPD se incluye la definición de Dato Personal como «Toda información sobre una persona física identificada o identificable». La identificación de una persona a los efectos de protección de datos se realiza cuando puede determinarse la identidad directa o indirectamente a través de: elementos propios de la identidad física, fisiológica, psíquica, económica y cultural o social, a los cuales añade el elemento genético; o por identificadores como por ejemplo el nombre, un número de identificación, datos de localización o un identificador en línea. Un dato personal podrá ser por tanto un identificador, un dato de localización o un nombre, siempre y cuando sean capaces de identificar a la persona (como por ejemplo el número de DNI o la dirección MAC de un ordenador o dispositivo móvil). Así mismo en el considerando 26 se establece la forma en la que se puede determinar si una persona es identificable: Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. 1.4.1 SeudOnimización VS anOnimización El RGPD en su considerando 26 introduce la anonimización del dato personal, la cual queda expresamente excluida del ámbito de aplicación del RGPD. Por lo tanto, los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación. A través de la definición de dato personal se introduce en la normativa de protección de datos una tercera categoría de dato personal ubicada entre el dato personal y la anonimización. Esta categoría nueva es denomina por el RGPD como la «Seudonimización», definida en el apartado 5 del art. 4 relativo a las definiciones: 5) «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable; La seudonimización no implica, una completa anonimización de los datos o disociación completa sin retorno o posibilidad de reversión de los mismos, ya que existe siempre la posibilidad de identificar al interesado a través de información adicional. Esta información adicional, se encontrará separada por tanto de los datos seudonimizados, y almacenada y custodiada con las debidas medidas de seguridad para garantizar que los datos personales no se atribuyan a una determinada persona. De esta manera, se consigue un tratamiento más seguro por parte del responsable que solo autorizará a aquellas personas (trabajadores o terceros) el acceso a la identificación del interesado cuando sea necesario para el ejercicio de las funciones u obligaciones encomendadas (considerando 29). La seudonimización a diferencia de la anonimización, sí es considerada como un dato personal por el RGPD, quién a través del considerando 26 establece: Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. A través de esta técnica se pretende garantizar un mayor respeto a la privacidad de los interesados o afectados, ya que a pesar de considerarse datos personales (considerando 26) el responsable limita el acceso a determinadas personas autorizadas, y por tanto reduce el riesgo en el tratamiento (considerando 28). Además, el RGPD crea incentivos para que los responsables apliquen la técnica de seudonimización, estableciendo obligaciones menos estrictas para los responsables quienes por ejemplo podrán procesar datos con seudónimo con finalidades distintas a las establecidas en la recogida o con fines científicos, históricos o estadísticos. En este sentido comprobamos que la seudonimización puede jugar un gran papel en el contexto de la Privacidad por Diseño, considerándose como una buena práctica el uso de esta técnica para garantizar un tratamiento de datos más seguro. 1.4.2 datOS genéticOS y biOmétricOS El art.4 apartado 13 define Dato Genético como: «datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona». El art.4 apartado 14 define Dato Biométrico como: «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos». Estas nuevas categorías de datos se incluyen entre las categorías especiales de datos (lo que en nuestra normativa se denominó como datos de nivel alto o especialmente protegidos), pero solo en aquellos supuestos en los que están siendo tratados con el fin de identificar de forma única a una persona. En este sentido conviene hacer mención al considerando 51, que establece que las fotografías no deben de considerarse como un dato sensible pese a tratarse de imágenes faciales, Adicionalmente el RGPD también realiza una definición de Dato de Salud como aquellos «datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud». Además de esta definición el considerando 35 viene a aclarar y a incluir dentro de la categoría de datos de salud a aquellos referidos a una asistencia sanitaria. Dato personal es información sobre una persona física identificada o identificable. Los datos de ubicación, identificadores digitales u otros factores relacionados con una persona física son datos personales. La probabilidad de identificación se mide con factores objetivos como costes y tiempo necesario para la identificación. Aquella información que no guarda relación con una persona física identificada o identificable, se considera información anónima excluida del ámbito de aplicación del RGPD. El dato seudónimo está sujeto al RGPD, pero los requisitos aplicables son menos estrictos. El RGPD recomienda a las organizaciones aplicar la seudonimización, ya que facilita el tratamiento de datos personales con fines científicos, históricos y estadísticos o para otras finalidades distintas de las originales. Los Datos Biométricos y Genéticos se consideran como datos sensibles si son tratados con medios técnicos específicos que permita la identificación o la autenticación de forma unívoca del interesado. 1.5 PRinciPiOs ReLativOs aL tRatamientO De DatOs PeRsOnaLes A los tradicionales principios de calidad: proporcionalidad, finalidad, exactitud y actualidad, cancelación de oficio y licitud, el RGPD incorpora través del art. 5 del RGPD, seis principios básicos. Licitud, lealtad y transparencia: los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado. Queda vinculado el principio de licitud, lealtad y transparencia con la información, ya que la misma debe facilitarse de forma comprensible y accesible. Por tanto, el tratamiento no será leal y lícito si la información no está accesible o no es comprensible. Minimización de datos: los datos personales deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. El RGPD no se limita por el exceso del tratamiento si no por la necesidad. Es decir, los datos personales serán adecuados pertinentes y limitados a la necesidad para la que fueron recabados. Cobra especial valor el sentido de la «Necesidad» (ya establecido por la Jurisprudencia del Tribunal Constitucional), de tal manera que, si el objetivo pudiera alcanzarse sin realizar un tratamiento de datos, los mismos no deberían ser tratados. Por otro lado, dicha limitación a lo necesario debe ser evaluada desde un punto de vista cuantitativo (volumen de datos) como cualitativo (categoría de datos). Así se establece en el considerando 39: «Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios.» Limitación de la finalidad: los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines. A este respecto al RGPD aclara la posibilidad de realizar tratamientos de datos con finalidades distintas de las recogidas siempre y cuando se den una serie de presupuestos. Marcados por el art. 6.4 del RGPD. En este sentido el mencionado artículo establece que el responsable de tratamiento con objeto de determinar si dicho fin es compatible tendrá en cuenta una serie de cuestiones: cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto; el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento; la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, (Categorías especiales de datos personales) o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10 (Datos relativos a condenas e infracciones); las posibles consecuencias para los interesados del tratamiento ulterior previsto; la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización. Exactitud: los datos personales serán exactos y, si fuera necesario, actualizados. Además, se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. En este sentido, el artículo 4 de la nueva LOPDGDD aligera las cargas para el Responsable del Tratamiento. Así, no le será imputable la inexactitud de los datos cuando éste hubiera adoptado las medidas razonables para que estos datos fueran suprimidos o rectificados “sin dilación”, y siempre que los datos inexactos provengan directamente de sujetos, tales como intermediarios, otros Responsables de Tratamiento, registros públicos o el propio interesado. Limitación en el plazo de conservación: los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento. Si bien en nuestra normativa ya se establece que deberán ser cancelados cuando los datos dejen de ser útiles para la finalidad en la que fueron recabados, el RGPD además de limitar el plazo de conservación establece la obligación al responsable de incluir plazos para la supresión o revisión periódica. Integridad y Confidencialidad: los datos personales deberán ser tratados de tal manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. La seguridad en el tratamiento de los datos ya no es una obligación sino es considerada como un principio del tratamiento de datos, y por tanto deberá ser adecuada a la categoría de datos que se esté tratando. Adams, el debar de mantener la confidencialidad en relación con los datos personales se asimilará al secreto profesional, debiendo contemplarse incluso una vez terminada la relación del obligado con el Encargado o el Responsable de Tratamiento. El tratamiento de datos no será lícito si la información a los interesados no es accesible y comprensible. Los datos deben ser limitados a los necesarios para la finalidad. Las obligaciones de integridad y confidencialidad se configuran como un principio. 1.6 el consentimiento El consentimiento se regula en el art. 6 del RGPD como uno de los supuestos que legitiman el tratamiento de datos, adicionalmente en el art. 7 del RGPD se identifican las condiciones en las que debe prestarse el consentimiento y, finalmente en el art. 9 se regula el consentimiento con datos sensibles. La principal novedad que se introduce en el RGPD con respecto a nuestra antigua normativa, es que el consentimiento debe de consistir en una declaración afirmativa o una clara acción afirmativa para la prestación del mismo, no admitiéndose por tanto el consentimiento tácito. De esta manera, el consentimiento debe de ser claro de tal forma que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado. Expresamente se indica en el considerando 32 la posibilidad de utilizar casillas para la obtención del mismo, estableciendo que la casilla pre marcada o la inacción no constituye una forma de prestar el consentimiento. Igualmente, también se establece en dicho considerando que cuando existan varios fines para el tratamiento se deberá recabar el consentimiento de forma independiente para cada uno de ellos; las previsiones contenidas en este precepto han sido trasladadas directamente al artículo 6.1 y 2 de la LOPDGDD Por tanto, el consentimiento para el tratamiento de datos deberá ser libre, específico, informado e inequívoco, debiendo probar el responsable del tratamiento que el titular de los datos o interesado consintió el tratamiento de los mismos a través de un proceso claro, inteligible y de fácil acceso, en el que se utilizó un lenguaje claro y sencillo. En relación con el consentimiento, también debemos tener en cuenta, que no será necesario recabar de nuevo el mismo por el responsable de Tratamiento si la forma en la que se recogió el dato, es decir antes del 25 de mayo de 2018, cumple con el RGPD. Efectivamente el considerando 171 establece: «La Directiva 95/46/CE debe ser derogada por el presente Reglamento. Todo tratamiento ya iniciado en la fecha de aplicación del presente Reglamento debe ajustarse al presente Reglamento en el plazo de dos años a partir de la fecha de su entrada en vigor. Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento.» Por otro lado, el consentimiento también será revocable, existiendo el derecho del titular del datos o interesado a retirar dicho consentimiento, el cual deberá ser igual de fácil a la hora de retirarlo que a la hora de darlo o prestarlo. A este respecto, el considerando 42 señala que el consentimiento no será libremente prestado si el interesado no puede retirar el mismo o no goza de una verdadera y libre elección. «El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.» Así mismo se presume también por el considerando 43 que, el consentimiento no es válido cuando la prestación del servicio sea dependiente del consentimiento, pese a que este no es necesario para dicho cumplimiento. «Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, inclusive la prestación de un servicio, sea dependiente del consentimiento, pese a que este no es necesario para dicho cumplimiento.» En este sentido, el artículo 6.3 de nuestra Ley Orgánica establece, además, la prohibición de supeditar la ejecución de un contrato a la prestación del consentimiento por el interesado para que se lleven a cabo tratamientos que nada tengan que ver con la relación contractual en sí. Los menores de edad, por su parte, solo podrán otorgar su consentimiento sin la intervención de quienes estén a su cargo, en nuestro país, cuando sean mayores de catorce años. En el artículo 8 Reglamento se establece una edad mínima -por defecto- de dieciséis años para consentir el tratamiento de sus datos, pero se habilita a los Estados miembros para que se lo permitan a menores de hasta trece años. Por último, en relación con el consentimiento se establece que el mismo deberá ser explícito en el tratamiento de datos sensibles que revelen origen racial, opiniones políticas, convicción religiosa, afiliación sindical, datos genéticos, biométricos y en general los relativos a la salud, vida sexual y orientación sexual. Podemos comprobar por tanto que la LOPDGDD establece medidas de protección más estrictas para los datos que sirvan para identificar la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico. En todos estos casos, el artículo 9 prohíbe que el consentimiento sea la base de legitimación para el tratamiento -por mucho que éste se dé libre, específica, informada e inequívocamente-, pero no así el resto de las contempladas en el artículo 6.1 del Reglamento. El consentimiento debe de ser una manifestación de voluntad libre. Se deben obtener tantos consentimientos como finalidades existan en el tratamiento. El consentimiento tácito o casillas pre marcadas no es válido. Tampoco es válido si la prestación del servicio depende del consentimiento. Los menores de edad solo podrán otorgar su consentimiento sin asistencia cuando sean mayores de 14 años (en España). Es necesario consentimiento explícito para datos sensibles, y queda prohibido ampararse en dicho consentimiento para los casos de tratamientos cuya finalidad principal sea identificar la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico no será suficiente con el consentimiento. 1.7 Licitud en el tratamiento 1.7.1 legitimidad en el tratamiento El RGPD en el art. 6 regula lo que nuestra normativa establecía como excepciones al consentimiento. De esta manera, comprobamos que existen otras bases legales que legitiman el tratamiento, no siendo necesario el consentimiento cuando se trate de: La ejecución de un contrato, o lo que antes se denominaba el mantenimiento de una relación negociar, laboral o administrativa. El cumplimiento de una obligación legal. La cual no necesariamente debe ser un acto legislativo adoptado por un parlamento, pero sí debe ser clara precisa y su aplicación previsible para los destinatarios de conformidad con la Jurisprudencia del Tribunal de Justicia de la Unión Europea (en adelante TJUE) y del Tribual Europeo de Derechos Humanos. (Considerando 41 y 45). En nuestro país, el artículo 8 de la LOPDGDD añade que solo podrá ampararse un tratamiento en normas de Derecho de la UE o con rango de Ley. El cumplimiento de intereses públicos, debiendo garantizarse que el tratamiento debe tener su base y finalidad en derecho de la UE o en el de los Estados Miembro (art. 6.3 y considerando 45). A este respecto, el RGPD establece en el apartado 2 del art. 6, que, tanto para el cumplimiento de intereses públicos como obligaciones legales, los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del RGPD. Como en el caso anterior, en España dicha misión de interés público deberá derivar de una competencia atribuida por una norma con rango de Ley. Para la protección de intereses vitales del interesado. El considerando 46 establece como ejemplos de intereses vitales y de interés público, aquellos relativos al tratamiento necesario para fines humanitarios (incluido el control de epidemias y su propagación) y situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano. Para la satisfacción de un interés legítimo. Se incorpora de forma similar a como se hacía por la directiva 95/46, y por tanto se establece el equilibrio de intereses entre el interesado y el responsable. De tal manera que existirá un interés legítimo por parte de un responsable de tratamiento, (o incluso de un responsable al que se puedan comunicar datos personales), siempre y cuando no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable (considerando 47). Por tanto, si bien el responsable puede realizar un tratamiento de datos sin recabar el consentimiento en virtud del interés legítimo, el interesado también podrá hacer prevalecer sus derechos y libertades a través del ejercicio del derecho de oposición, el cual podrá ser concedido siempre y cuando exista una circunstancia personal que haga prevalecer sus derechos y libertades al derecho del responsable. Podemos, por tanto, apreciar que de entre las situaciones que permiten el tratamiento lícito de datos sin consentimiento, la satisfacción del interés legítimo es la excepción que mayor indeterminación podrá producir en la aplicación práctica del RGPD, ya que podría recurrirse a la misma como cajón de sastre para la no obtención del consentimiento del interesado en determinadas situaciones en las que el mismo resulta de difícil o imposible obtención. Como hemos visto anteriormente, uno de los mayores cambios que introduce el RGPD con respecto a nuestra normativa de protección de datos es el de la eliminación del consentimiento tácito, siendo por tanto la satisfacción del interés legítimo, un elemento clave para considerar la existencia de un tratamiento de datos sin consentimiento del interesado. Es por esta razón, por la que el RGPD en sus considerandos 47 a 49 establece ejemplos de cuando podríamos encontramos ante un interés legítimo por parte del responsable, aclarando que siempre habrá que realizar una evaluación meticulosa y aplicar la regla de la expectativa legítima o razonable para la consideración de dicho interés legítimo (dicha regla es establecida por el Grupo de trabajo 29 en Opinión n.º 6 de 2014). Así, en el considerando 47 establece la posibilidad de aplicar el interés legítimo cuando exista una relación pertinente y apropiada entre el interesado y el responsable, como por ejemplo las existentes por éste último con clientes y trabajadores, y además se espere por el interesado de forma razonable que dicho tratamiento tendrá lugar (regla de la expectativa razonable). Como ejemplos hace mención al tratamiento de datos con fines de Marketing Directo, Prevención del Fraude, transmisiones de datos dentro del Grupo Empresarial (considerando 48) y las transmisiones de datos para garantizar la seguridad de las redes (considerando 49). 1.7.2 datos especialmente protegidos El art. 9 del RGPD establece las categorías especiales de datos, añadiendo a nuestra normativa algunas categorías específicas inexistentes como el dato genético (antes considerado dato de salud por el RLOPD) el dato biométrico, y la orientación sexual. De esta manera la categoría de datos especialmente protegidos de nuestra normativa quedaría de la siguiente forma: LOPDGDD/RGPD Ideologue = Opinions politics. Afiliación Sindical = Afiliación Sindical.  Religión = Convicciones religiosas. Currencies = Convictions filosóficas. Salud = Datos relativos a la Salud. Origen racial o étnico = Origen racial o étnico. Vida Sexual = Vida Sexual. Adicionalmente se añade como dato especialmente protegido el Dato Genético, Dato Biométrico, ya comentados anteriormente, y el dato de Orientación sexual. Como regla general se prohíbe por tanto tratamiento de estas categorías de datos salvo que exista un consentimiento explícito por parte del interesado o concurran las siguientes circunstancias: Cumplimiento de obligaciones y ejercicios de derechos en el ámbito del Derecho Laboral y de la seguridad y protección social. Protección de Intereses vitales del interesado. Tratamiento efectuado en el ámbito de fundaciones o asociaciones cuya finalidad sea política, filosófica, religiosa o sindical. Tratamiento de datos manifiestamente públicos. Tratamientos necesarios para la formulación, ejercicio o defensa de reclamaciones, o tratamientos efectuados por tribunales en el ejercicio de su función judicial. Por razón de interés público en el ámbito de la salud pública. Es necesario con fines de archivo e interés público, fines de investigación científica o histórica o fines estadísticos. Por otro lado, se deja en manos de los Estados miembros la posibilidad de establecer reglas adicionales, o incluso limitaciones, respecto de dichas circunstancias que permiten realizar el tratamiento de datos sensibles. En nuestro caso, como ya se ha comentado en el apartado 1.6, el artículo 9 de la LOPDGDD prohíbe, en aras de evitar situaciones discriminatorias, el empleo del mero consentimiento como base de legitimación cuando se pretenda tratar datos relativos a la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico, debiendo recurrirse a otro de los que se contemplan en el artículo 6.1 del RGPD. También obliga a que los datos tratados con fines de interés público o por imperativo legal se apoyen en normas de Derecho de la UE o con rango de Ley, a fin de garantizar que se trata de preceptos de suficiente entidad como para enervar, en su caso, los derechos de los interesados. 1.7.3 referencias especiales en la licitud del tratamiento Los menores Conforme el art. 8 del RGPD se considera el consentimiento de un menor válido si es otorgado a partir de los 16 años. De tal manera que si el niño es menor de 16 años el tratamiento únicamente será lícito si es autorizado por el titular de la patria potestad o tutela sobre el niño. No obstante, lo anterior, se estable por el art. 8.1 que los Estados Miembros podrán establecer por ley una edad inferior que en todo caso no podrá sobrepasar el límite de los 13 años. Como se ha mencionado en el apartado 1.6, la LOPDGDD establece al respecto la edad del consentimiento del menor en los 14 años. Adicionalmente, el art. 6.2 establece de forma similar a como lo hacía nuestra normativa de protección de datos, que el responsable deberá realizar esfuerzos razonables para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el menor teniendo en cuenta la tecnología disponible. Las credenciales de acceso El tratamiento de datos que no requiere identificación viene regulado en el art.11 del RGPD que señala específicamente que pueden existir supuestos en los que los datos personales no permiten identificar a una persona física y que, por tanto, en estos casos no estaría obligado el responsable a obtener información adicional para la identificación del interesado con la única finalidad de cumplir con el RGPD. Pese a no ser una obligación la de identificación del interesado en dichos supuestos, el Responsable sí estaría obligado a aceptar recibir información adicional que permita la identificación del interesado, si este último quiere ejercitar alguno de los derechos comprendidos en el RGPD entre los art. 15 a 20 (acceso, rectificación, oposición, limitación, portabilidad y decisiones automatizadas). Tratamiento de condenas e infracciones penales Conforme al art. 10 los tratamientos de datos relativos a condenas e infracciones penales solo podrán llevarse a cabo bajo supervisión de Autoridad Pública o cuando se autorice por el Derecho de la UE o el Estado miembro. En este sentido, el mismo artículo 10, pero de la LOPDGDD, admite el tratamiento de estos datos con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales y los procedimientos o medidas cautelares y de seguridad que les sean conexas. También, claro, cuando sean tratados por abogados y procuradores en el ejercicio de sus funciones para con sus clientes. Conclusiones Para que exista interés legítimo es necesario realizar una evaluación meticulosa de dicho interés y que exista una expectativa razonable de dicho tratamiento por parte del interesado (como por ejemplo los relativos a tratamientos para la prevención del fraude, marketing directo, transmisión de datos en un Grupo Empresarial, seguridad en redes informáticas etc.) Se introducen nuevas categorías de datos sensibles como los datos biométricos, los datos genéticos y la orientación sexual. Para el tratamiento de datos sensibles es necesario el consentimiento explícito, o encontrarse entre una de las circunstancias establecidas por el art.9 (obligaciones de derecho laboral, interés vital, fundación o asociaciones políticas o religiosas, datos manifiestamente públicos, defensa de reclamaciones e interés público). El límite para el tratamiento de datos de los menores de edad se establece en los 16 años, pudiendo los Estados miembros bajar el mismo hasta el límite de los 13 años. España ha fijado en la LOPDGDD el límite en los 14 años. 2 Derechos del interesado EL RGPD regula en el Capítulo III los derechos del interesado en materia de protección de datos los cuales quedan descritos en los art. 15 a 20 y en los considerandos 58 a 71. Como veremos más adelante, el RGPD introduce nuevos derechos a los ya existentes en nuestra normativa de protección de datos (los comúnmente denominados derechos ARCO por el acrónimo de Acceso, Rectificación, Cancelación y Oposición) como son el derecho a la portabilidad del dato y el derecho a la limitación en el tratamiento. 2.1 cuestiones generales A través del art. 12 y considerando 59 se establecen por el RGPD las condiciones generales en las que se deben de dar los derechos del interesado: Transparencia: Toda la información que se dirija al interesado ha de ser concisa, de fácil acceso y a través de un lenguaje claro y sencillo. Se intenta evitar las políticas de privacidad excesivamente largas o difíciles de entender. Además, especialmente se establece que en el caso de que vayan dirigidas a menores, las mismas deberán ser no solo de lenguaje claro y sencillo, sino también entendible por éstos últimos. Obligación expresa del ejercicio de Derechos: a diferencia de la Directiva, en el RGPD se establece como una obligación expresa de los responsables hacer efectivos los derechos del interesado. Plazos: se establece un plazo de 1 mes para hacer efectivo el derecho del interesado, el cual puede ser prorrogado por 2 meses más en supuestos de complejidad o número de solicitudes recibidas. En cualquier caso, deberán ser informadas dichas prórrogas avisando expresamente al interesado de los motivos de las mismas. Medios Electrónicos: se establece en el considerando 59 que el responsable debe proporcionar medios al interesado para que las solicitudes se presenten por medios electrónicos, sobre todo cuando dicho tratamiento es realizado por dichos medios. Además, deberá darse respuesta por medios electrónicos si la solicitud es realizada a través de los mismos, salvo que el interesado manifieste lo contrario. Negativa a la solicitud: en los supuestos en los que no se le conceda el ejercicio de derechos, deberá ser informado en el mismo plazo de un mes de los motivos para dicha negativa, y de la posibilidad de presentar la correspondiente reclamación ante la Autoridad competente. Gratuidad: Si bien el ejercicio de los derechos deberá ser gratuito para los interesados, se establecen los supuestos en los que el responsable puede cobrar una tasa o canon razonable o incluso negarse a responder. Dichos supuestos son los casos de solicitudes abusivas de ejercicio de derechos manifiestamente infundadas o excesivas, y en particular aquellas que tengan un carácter repetitivo. Información adicional: se podrá solicitar por los responsables del tratamiento información adicional para la identificación del interesado en aquellos casos en los que existan dudas razonables sobre la identidad de la persona física que realiza la solicitud. Plazo de 1 mes desde la recepción de la solicitud. Uso de medios electrónicos en las solitudes realizadas por estos medios. Políticas de privacidad, claras, sencillas y de fácil acceso. 2.2 Derecho a La información El derecho a la información se regula en los art. 13 y 14 así como en los considerandos 60 a 62 del RGPD. A diferencia de la Directiva la obligación de información que tenían los responsables del tratamiento de datos pasa a ser un derecho del interesado y no un deber u obligación del responsable. El derecho a ser informado y su contenido se clasifica de la siguiente manera en función del origen de la obtención del dato: I. Datos obtenidos del interesado El RGPD incrementa la información que ha de facilitarse al interesado, la cual podríamos clasificarla en información Fija y Variable, siendo la primera aquella información que siempre se ha de facilitar al interesado, y Variable aquella información que varía en función de que la misma sea aplicable al supuesto de hecho o al concreto responsable del tratamiento de que se trate. Information Fiji: Identidad y datos de contacto del responsable y, en su caso, de su representante. La finalidad del tratamiento y la base jurídica para el tratamiento del mismo. Plazos de conservación de los datos o criterios para determinar el plazo. Posibilidad de solicitar el ejercicio de derechos: acceso, rectificación, supresión, limitación, oposición y portabilidad. El derecho a revocar el consentimiento. El derecho a presentar reclamación ante la Autoridad de Control. Information Variable: Identidad del Delegado de Protección de Datos. Interés legítimo del responsable o un tercero, en el caso de uso de dichos supuestos de tratamiento. Destinatarios en caso de que existan. Transferencias internacionales incluyendo información sobre las garantías adoptadas. Decisiones individualizadas automatizadas, en caso de que existan. La existencia de comunicaciones de datos, bien por requisito legal o contractual, y de la obligación a facilitar dichos datos y las consecuencias de la negativa a facilitarlos. La referida información no será de aplicación en los supuestos en los que interesado ya disponga de la misma. La práctica habitual en esta materia es dividir la información en varias capas siendo la primera un esquema con la información mínima imprescindible, y las siguientes (normalmente solo hay una más) desarrollan todo el contenido del deber de información. La LOPDGDD, en este sentido, establece la información básica que deberá contener esa primera capa2; a saber: La identical del responsible. La final dad del tratamiento. La posibilidad de ejercer los derechos que corresponden a los interesados conforme a la normativa de protección de datos. Una dirección electrónica u otro medio para acceder de forma sencilla al resto de la información. II. Datos No obtenidos del interesado El RGPD establece la información que se deberá facilitar cuando los datos no hayan sido recabados u obtenidos del interesado. En estos casos, el responsable deberá facilitar en el plazo de 1 mes (se modifica el plazo de 3 meses de nuestra normativa) además de la información anterior la siguiente información: El origen de los datos. Las categorías de datos. Se aclara además que en estos supuestos de no obtención directa del interesado el plazo para informar es de un mes con dos excepciones: Si trata el dato para comunicarse con el afectado, se deberá informar antes o a más tardar en la primera comunicación que se dirija. Si se realiza el tratamiento para facilitárselo a un tercero, se deberá informar antes de la comunicación o a más tardar en el momento en que los datos sean comunicados por primera vez. Adicionalmente, se establece que en los casos en los que se proyecte realizar un tratamiento posterior para una finalidad distinta a la de la recogida y obtención del dato, se deberá informar con anterioridad a dicho tratamiento de toda la información recogida en dichos arts. 13 y 14. Por último, en el art. 14.5 se establecen los supuestos o excepciones respecto al deber de información al interesado: Al igual que en el supuesto de obtención directa del interesado, no será necesario informar en los casos en los que el interesado ya dispone de dicha información, ni en los siguientes supuestos: Resulte imposible o suponga un esfuerzo desproporcionado en caso de tratamiento con fines de archivo, estadísticos o de investigación científica o histórica. Se entiende por el considerando 62 que para que se dé esta circunstancia es necesario tener en consideración el número de interesados, la antigüedad de los casos y las garantías adoptadas. Exista una Previsión legal expresa de tratamiento o prohibición de revelación, con medidas oportunas de protección. Obligación de secreto legal o profesional. Asimismo, y también de manera análoga a como se hace para el caso de que los datos hayan sido obtenidos directamente del interesado, la LOPDGDD establece la información básica que deberá ofrecérsele al interesado, añadiendo a la anterior: Las categorías de datos objeto del tratamiento. Las fuentes de las que proceden los datos. III. Guía de la AEPD para el cumplimiento del deber de informar En relación con el deber de información la AEPD de datos ha publicado unas Guías para el cumplimiento del deber de informar en donde destaca la división de la información por capas o niveles, de forma similar a como se venía realizando con las cookies. Así la AEPD recomienda dividir la información en dos capas, de tal forma que una primera capa se informe de la información básica y resumida del tratamiento de datos en el mismo momento y en el mismo medio en el que se recojan los datos, para a continuación remitir a un segundo nivel o segunda capa en donde se incluirá de forma detallada el resto de obligaciones de información. Esta segunda capa podrá ser un medio distinto más adecuado para su presentación y comprensión pudiendo tratarse incluso de un archivo descargable. El cuadro resumen publicado por la AEPD es el siguiente: Epígrafe Información básica (1a capa, resumida) Información adicional (2a capa, detallada) Responsable (del tratamiento) Identidad del Responsable del Tratamiento Datos de contacto del Responsable Identidad y datos de contacto del representante Datos de contacto del Delegado de Protección de Datos Finalidad (del tratamiento) Descripción sencilla de los fines del tratamiento, incluso elaboración de perfiles Descripción ampliada de los fines del tratamiento Plazos o criterios de conservación de los datos Decisiones automatizadas, perfiles y lógica aplicada Legitimación (del tratamiento) Base jurídica del tratamiento Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo. Obligación o no de facilitar datos y consecuencias de no hacerlo Destinatarios (de cesiones o transferencias) Previsión o no de Cesiones Destinatarios o categorías de destinatarios Previsión de Transferencias, o no, a terceros países Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables Derechos (de las personas interesadas) Referencia al ejercicio de derechos. Como ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento Derecho a retirar el consentimiento prestado Derecho a reclamar ante la Autoridad de control Procedencia (de los datos) Fuente de los datos (cuando no proceden del interesado) Información detallada del origen de los datos, incluso si proceden de fuentes de acceso público Categorías de datos que se traten De esta manera, y sin perjuicio de lo que ya hemos visto que establece la LOPDGDD, la AEPD recomienda presentar siempre los cinco primeros epígrafes («Responsable», «Finalidad», «Legitimación», «Destinatarios» y «Derechos»), añadiendo el epígrafe «Procedencia» únicamente cuando los datos no procedan del propio interesado. El objetivo por tanto por un lado es facilitar la tarea del Responsable del Tratamiento a la hora de diseñar sus procedimientos y formularios de recogida de datos, y por otro, conseguir que las personas interesadas obtengan la información más relevante de forma rápida y simplificada en una primera capa, pero sin que ello suponga ningún menoscabo de los principios de licitud, lealtad y transparencia que establece el RGPD. Un ejemplo de Cláusula de información en formato papel podría ser el siguiente: Ejemplo de Cláusula Información básica 1ª capa en formato Papel sobre Protección de Datos Responsable Ediciones Warren&Brandeis, S.A. Finalidad Gestión de la suscripción Legitimación Ejecución de un contrato Destinatarios No se cederán datos a terceros, salvo obligación legal Derechos Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional Información adicional Puede consultar la información adicional y detallada sobre Protección de Datos en nuestra página web: http://www.warrenbrandeis.com/protecciondatos Otro ejemplo de cláusula de información en formato electrónico podría ser el siguiente: Información básica sobre Protección de Datos Responsable Ediciones Warren&Brandeis, S.A. +info Finalidad Gestionar el envío de información y prospección comercial +info Legitimación Consentimiento del interesado +info Destinatarios Otras empresas del grupo Warren&Brandeis, Inc. Encargados de Tratamiento fuera de la UE, acogido a «Privacy Shield» +info Derechos Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional +info Información adicional Puede consultar la información adicional y detallada sobre Protección de Datos en nuestra página web: http://www.warrenbrandeis.com/protecciondatos/info/ Conclusiones Información fija a facilitar: Datos del responsable, finalidad y base jurídica del tratamiento, plazo de conservación, ejercicio de derechos, posibilidad de revocar el consentimiento y posibilidad de reclamación. Información variable: Cesiones o comunicaciones, Delegado de PD, Interés legítimo, Transferencias internacionales y decisiones automatizadas. En caso de no obtener la información del interesado se deberá informar en el plazo de 1 mes añadiendo información sobre el origen de los datos y las categorías de datos obtenidas. Se recomienda por las Autoridades de control dividir la información en dos capas, una de primer nivel con la información básica resumida y otra de segundo nivel con información adicional detallada. 2.3 DeRechO De accesO El derecho de acceso viene regulado en al art. 15 y en los considerandos 63 y 64 del RGPD así como en el artículo 13 de la LOPDGDD. I. Alcance A diferencia con el derecho de acceso de nuestra normativa de protección de datos, el derecho de acceso que introduce el RGPD, es un derecho más amplio que debe incluir la siguiente información: Finalidad del tratamiento. Categoría del dato tratado. Destinatarios. Plazo de conservación. Existencia del derecho a rectificar, suprimir, limitar u oponerse al tratamiento. Reclamación. Origen de la fuente de obtención del dato. Existencia de decisiones individuales automatizadas y elaboración de perfiles, así como la lógica aplicada para las mismas. Transferencias internacionales y garantías implantadas para la realización de las mismas. II. Modo Respecto al modo en el que se debe facilitar el acceso, el art. 15.3 y el considerando 63 señalan que se deberá facilitar una copia de los datos objeto de tratamiento de forma sencilla o con facilidad en intervalos de plazo razonables, con el fin de que el interesado pueda verificar y conocer la licitud del tratamiento. Se hace una mención específica en dicho considerando, a los datos relativos a la salud incluidos en los Historiales Clínicos, debiendo contener información sobre diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas. Asimismo, en caso de que el interesado solicite otra copia, esta podrá ser remunerada con una tasa o canon razonable basado en los costes administrativos que suponga dicha copia. Además, debe facilitarse por medios electrónicos de uso común, si el interesado utilizó estos para realizar su solicitud. A este respecto, el considerando 63 establece que los responsables deben estar facultados para permitir un acceso remoto seguro que ofrezca al interesado un acceso directo a sus datos personales. Se habilita igualmente por el considerando 63 la posibilidad de solicitar al interesado mayor concreción en la solicitud de acceso cuando la misma conlleve gran cantidad de información relativa al interesado. Por último, en el mismo considerando se restringe el ejercicio del derecho de acceso a que el mismo no afecte negativamente a los derechos y libertades de otros, incluidos los secretos comerciales o la propiedad intelectual, y en particular los derechos de propiedad intelectual que protegen los programas informáticos. En cuanto a lo establecido en la LOPDGDD, lo más importante es que prevé la posibilidad de que el Responsable tenga una gran cantidad de datos del interesado solicitante, por lo que considera oportuno permitir que aquél solicite antes cuáles de esos datos quiere que le remita. Además, también admite la posibilidad de que este acceso a datos se lleve a cabo de forma remota, sin necesidad de remitírselos directamente, con la condición de que el medio sea seguro y directo. También se establece que podrán considerarse repetitivas (con las consecuencias ya citadas) cuando se realice más de una solicitud de acceso en un plazo de seis meses, salvo que exista una causa justificativa, y se podrán considerar excesivas en el caso de que, al ejercitar el derecho de acceso, se solicite la remisión de los datos por un medio distinto al que se le ofrece, y siempre que el mismo suponga un coste desproporcionado para el Responsable. En este último caso, el interesado se debería hacer cargo de los costes adicionales de su elección, si decidiera seguir adelante con ella. Conclusiones Se amplía el derecho de acceso a la finalidad, categoría de datos, destinatarios, plazo de conservación, existencia de los restantes derechos y posibilidades de reclamar y, en su caso, al origen de la fuente del dato, existencia de decisiones automatizadas, elaboración de perfiles, y transferencias internacionales. Se habilita al responsable a que en supuestos de grandes cantidades de información solicite mayor concreción al interesado. 2.4 DeRechO De Rectificación El derecho de rectificación viene regulado en al art. 16 y en el considerando 65 del RGPD. Existe una vinculación directa del derecho a la rectificación con el carácter inexacto o incompleto de los datos. Será por tanto obligación de los responsables que los datos no sean incompletos o inexactos, debiendo garantizar que los mismos serán actualizados sin dilación indebida y al mismo tiempo el interesado tiene el derecho a que sus datos sean rectificados en los supuestos en que los mismos sean inexactos. 2.5 DeRechO De suPResión El derecho de supresión viene regulado en al art. 17 y en los considerandos 65 y 66 del RGPD. I. Alcance El derecho a la supresión de los datos y por tanto que los mismos sean suprimidos y dejen de tratarse por el responsable sin dilación indebida se produce en los siguientes supuestos: Dejan de ser necesarios para los fines en los que fueron recabados. El consentimiento ha sido retirado por el interesado. El interesado se opone al tratamiento de los mismos conforme al art. 21 del RGPD. Los datos han sido tratados ilícitamente. Para el cumplimiento de una obligación legal establecida por el Derecho de la UE o de los Estados miembros. Se hayan obtenido en relación a una oferta de servicios de la sociedad de la información efectuada a menores conforme el art. 8 del RGPD (consentimiento de menores en relación a los SSI). Se hace también referencia expresa al «Derecho al olvido». Es decir, a la manifestación del derecho de supresión en Internet. De manera que cuando el responsable de tratamiento haya publicado datos personales que han dejado de ser útiles o necesarios para la finalidad en que fueron recabados y reciba solicitudes de supresión de interesados adoptará las medias razonables para informar a los responsables que estén tratando dichos datos personales de que existe una solicitud de supresión del interesado que afecta tanto a enlaces, como a cualquier copia o réplica. II. Derecho a la Retención o Bloqueo Si bien no hay una mención expresa al bloqueo de datos, si se establece en el art. 17 y considerando 65 una mención a la posible retención de los datos por parte del responsable de tratamiento o excepciones al derecho de supresión. Así se señala que, aunque los datos dejen de ser útiles o necesarios o el interesado retire el consentimiento para el tratamiento, los datos podrán conservarse bloqueados cuando el tratamiento es necesario para: El ejercicio de las libertades de expresión e información El Cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros. Tratamiento para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable. Razones de interés público en el ámbito de la salud pública. Fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento Formulación, ejercicio o defensa de reclamaciones. Otro ejemplo de esto es lo previsto en el artículo 15 de la LOPDGDD, que permite que, tras el ejercicio de este derecho para no recibir más comunicaciones comerciales, el Responsable conserve los mínimos datos posibles para identificar al interesado, con el fin de no enviarle más. Conclusiones La supresión se producirá cuando dejen de ser necesarios para la finalidad en que fueron recabados, se retire el consentimiento, el interesado se oponga, lo establezca la ley, en supuestos de menores y SSI, y cuando han sido tratados ilícitamente. Se permite conservar los datos para el ejercicio o defensa de reclamaciones. 2.6 DeRechO De Limitación DeL tRatamientO El derecho a la limitación viene regulado en los art. 18 y considerando 67 del RGPD. I. Alcance El derecho a la limitación del dato personal establece un derecho a que los datos sean marcados de tal manera que se evite por parte del responsable un tratamiento en un futuro. Si bien en nuestra normativa de protección de datos establecía que el bloqueo era una consecuencia derivada de la cancelación, en el caso de la limitación es un derecho en sí mismo considerado. De tal manera que el responsable de tratamiento deberá limitar el mismo en determinados supuestos: Impugnación de exactitud de datos, durante el plazo que se permite al responsable verificar la misma. Tratamientos ilícitos en los que el interesado se opone a la supresión. Los datos ya no son necesarios para la finalidad del tratamiento pero el interesado los necesita para la formulación, el ejercicio o la defensa de reclamaciones. Oposición conforme al art. 21 del RGPD. II. Modo En los supuestos contemplados de limitación, los datos solo podrán ser objeto de tratamiento para: Su conservación. Con el consentimiento del interesado. Para la formulación, el ejercicio o defensa de reclamaciones.  Para la protección de los derechos de la persona física o jurídica  Por razones de interés público de la UE o Estados miembros. Los interesados que obtengan la limitación de sus datos deberán ser informados por los responsables antes del levantamiento de dicha limitación. Por último, el considerando 67 establece qué métodos son aconsejables para la limitación del tratamiento. Entre los métodos para limitar el tratamiento de datos personales cabría incluir los consistentes en trasladar temporalmente los datos seleccionados a otro sistema de tratamiento, en impedir el acceso de usuarios a los datos personales seleccionados o en retirar temporalmente los datos publicados de un sitio internet. En los ficheros automatizados la limitación del tratamiento debe realizarse, en principio, por medios técnicos, de forma que los datos personales no sean objeto de operaciones de tratamiento ulterior ni puedan modificarse. El hecho de que el tratamiento de los datos personales esté limitado debe indicarse claramente en el sistema. Conclusiones  La limitación se debe de realizar por el responsable cuando el interesado impugne la exactitud de los datos, haya ejercitado el derecho de oposición, el tratamiento es ilícito y el interesado se opone a la supresión, y aunque los datos no son necesarios el interesado los necesita para su defensa ante reclamaciones. 2.7 DeRechO De PORtabiLiDaD El derecho a la portabilidad viene regulado en los art. 20 y considerando 68 del RGPD. I. Alcance Se establece como un derecho del interesado a recibir todos aquellos datos personales que le incumban y que haya facilitado a un Responsable, así como a remitírselos a otro sin que el Responsable original pueda oponerse, siempre y cuando el tratamiento esté basado en el consentimiento o sea necesario para la ejecución de un contrato y el mismo se efectúe por medios automatizados. Como excepción se establece aquellos supuestos en los que el tratamiento se funde en el cumplimiento de una misión de interés público o inherente al ejercicio del poder público. II. Modo Se establece que los interesados deben de recibir los datos en un formato estructurado de uso común y de lectura mecánica e interoperable o, siempre que la tecnología lo permita, el interesado tendrá el derecho a que los datos personales se transmitan directamente de un responsable de tratamiento a otro.  Es el derecho a recibir el interesado u otro responsable los datos personales del interesado en formato común y estructurado siempre y cuando el tratamiento se base en el consentimiento o en la ejecución de un contrato. 2.8 Derecho De Oposición El derecho a la oposición viene regulado en el art. 21 y en los considerandos 69 a 70 del RGPD. I. Alcance Se establecen los siguientes supuestos específicos en los que poder ejercitar el derecho de oposición: En los supuestos de tratamiento de datos en interés público (art.6.1 e). En los supuestos de interés legítimo (art.6.1 f). En el caso de que los datos sean tratados con finalidades de Marketing Directo el responsable está obligado en todo momento a dejar de tratar los datos en cuanto el interesado se oponga a dicho tratamiento. Además, deberá comunicar su derecho al interesado en la primera comunicación que realice de forma clara y al margen de cualquier otra información. II. Modo A diferencia de nuestra normativa, en la que era el interesado quién debía demostrar la situación particular para la oposición, en el RGPD se invierte dicha carga siendo obligación del responsable demostrar que existen motivos suficientes que prevalezcan sobre los derechos y libertades del interesado. En caso contrario, dejará de tratar los datos personales del interesado. Se invierte la carga de la prueba siendo el responsable el que debe de demostrar la existencia de intereses superiores a los del interesado. Opt-out en el marketing Directo. 2.9 DeRechO a LimitaR Las DecisiOnes inDiviDuaLes autOmatizaDas El derecho a las decisiones automatizadas viene regulado en los art. 21 y considerandos 69 a 70 del RGPD. I. Alcance Se incluyen las elaboraciones de perfiles o profiling y se establece que los interesados tendrán derecho a no ser objeto de dichos tratamientos basados únicamente en tratamientos automatizados que produzcan efectos jurídicos o afecten al interesado de forma similar. El considerando 71 establece como ejemplos: «la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna» Así mismo, establece dicho considerando lo que puede llegar a entenderse por elaboración de perfiles: «…elaboración de perfiles consistente en cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar.» «…el responsable debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o que den lugar a medidas que produzcan tal efecto. Las decisiones automatizadas y la elaboración de perfiles sobre la base de categorías particulares de datos personales únicamente deben permitirse en condiciones específicas.» Como excepciones se establecen las relaciones contractuales libremente aceptadas y el consentimiento o la previsión del Derecho Nacional o de la UE. Además, se establece que, en el caso de que se haya prestado el consentimiento o exista una relación contractual libremente aceptada, el tratamiento debe estar sujeto a las siguientes garantías adecuadas: Incluir información específica al interesado. Derecho a obtener intervención humana. Derecho a expresar su punto de vista. Derecho a recibir una explicación de la decisión tomada después de la evaluación. Derecho a impugnar la decisión. Se permite con el consentimiento del interesado o en relaciones contractuales libremente aceptadas, siempre y cuando se garantice incluir información al respecto y se garantice el derecho del interesado a la intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión y a impugnar la misma. 3 Accountability o principio de Responsabilidad Proactiva 3.1 PRinciPiO De accOuntabiLity O De ResPOnsabiLiDaD PROactiva El principio de «Accountability» o «Responsabilidad Proactiva» viene regulado en al art. 5.2 y 24 así como en el considerando 74 del RGPD. A través de este principio de protección de datos, el responsable y encargado de tratamiento estarán obligados a demostrar que sus actividades de tratamiento de datos cumplen con los principios relativos al tratamiento de datos (art. 5.1 del RGPD). Para ello deberán implantar unas medidas técnicas y organizativas apropiadas a fin de demostrar que los tratamientos que realizan son conformes con el RGPD. Estas medidas deberán ser actualizadas y revisadas periódicamente a través de procedimientos internos o externos de auditoría, o con la adhesión a códigos de conducta o procesos de certificación. Nos encontramos, por tanto, con un principio que establece para los responsables y encargados una obligación «proactiva y sistemática» del cumplimiento de la normativa de protección de datos a través de la implantación de medidas técnicas y organizativas apropiadas, las cuales deberán incluir la protección de datos desde el diseño y por defecto en aquellas áreas de la organización donde sean necesarias. El objetivo final de la implantación de dichas políticas o medidas de protección de datos o programas de gestión interna de la privacidad no es otro que garantizar que las actividades de tratamiento realizadas por el responsable cumplen con lo establecido en RGPD. Es conveniente aclarar que las medidas técnicas y organizativas que señala el principio de Responsabilidad Proactiva, no deben de asimilarse o confundirse con las medidas técnicas y organizativas de seguridad que marcaba nuestro RLOPD, ya que las mismas, como veremos más adelante, constituirían un apartado de dichas medidas, políticas o procesos en materia de protección de datos que es necesario implantar por los responsables y encargados. Existe un cambio importante en cuanto al enfoque con respecto a la Directiva 95/46/CE, ya que si bien con la Directiva se buscaba evitar la infracción de los derechos de los interesados como obligación principal, con el RGPD se busca la anticipación a la infracción o lesión de derechos. Se busca el cumplimiento con antelación para evitar así la lesión o infracción del derecho o libertad del interesado. Por tanto, es un cambio de enfoque con consecuencias reales, ya que el hecho de la falta de adopción de alguna de las medidas u obligaciones establecidas por el RGPD puede originar la imposición de una sanción al responsable o encargado de tratamiento sin que previamente exista una lesión de los derechos y libertades del afectado o interesado. Las medidas a las que hace referencia el RGPD se pueden resumir en las siguientes: Registro de Actividades. Medidas de Protección de Datos desde el Diseño. Medidas de Protección de Datos por Defecto. Medidas Técnicas y Organizativas de Seguridad Adecuadas. Evaluaciones de Impacto. Autorización previa o Consultas previas con la Autoridad de Control. Delegado de Protección de Datos. Notificación de Brechas de Seguridad. Nos encontramos con un principio fundamental en la normativa de protección de datos (incluido dentro de los principios fundamentales de tratamiento del art. 5 del RGPD) que no es otro que la obligación de los responsables y encargados de implantar un sistema interno de cumplimiento en materia de protección de datos. Sistema que estará integrado por distintas políticas o procesos internos de privacidad que deberán ser actualizados y auditados periódicamente de manera que permitan demostrar el cumplimiento del RGPD. En comparación con nuestra antigua normativa de protección de datos, podemos por tanto comprobar que si bien durante años lo servicios de Auditoría Bienal, y por tanto el cumplimiento de las medidas técnicas y organizativas de seguridad, se constituían como los servicios o las obligaciones que marcaban el cumplimiento de una organización en materia de protección de datos, con el RGPD se produce un giro importante de 180º en la forma de gestionar dicho cumplimiento normativo, pasando a tener una mayor relevancia la adecuación jurídica o el cumplimiento normativo de protección de datos, siendo el cumplimiento técnico o en materia de seguridad uno de los elementos a tener en cuenta en el sistema empresarial de cumplimiento de protección de datos. Vemos por tanto que el sistema de cumplimiento normativo de protección de datos va a tener muchas similitudes en cuanto a los procedimientos y procesos con sistemas de cumplimiento normativo ya existentes en nuestra normativa, como pueden ser los sistemas de cumplimiento normativo en materia de Prevención de Blanqueo de Capitales y Responsabilidad Penal Corporativa. El principio de Accountability o Responsabilidad Proactiva establece una obligación proactiva y sistemática del cumplimiento de la normativa de protección de datos, a través de la implantación de medidas técnicas y organizativas apropiadas. El sistema interno de cumplimiento de la normativa de protección de datos, deberá incluir diversas políticas o procesos internos de protección de datos o privacidad que deberán ser actualizados y auditados periódicamente. 3.1.1 enfOque de aprOximación al rieSgO El enfoque de aproximación al Riesgo se recoge en el art. 24 y en los considerandos 75 a 77 del RGPD. Para el cumplimiento del principio de «Responsabilidad Proactiva» el responsable y encargado de tratamiento deberán previamente realizar un análisis y estudio del cumplimiento en materia de protección de datos basado en el riesgo. Es decir, deberán analizar qué medidas de protección de datos son necesarias implantar para garantizar el cumplimiento del RGPD, en función de naturaleza, alcance, contexto y finalidades del tratamiento de datos que realicen, así como de los riesgos o probabilidades de intromisión en los Derechos y libertades de los interesados. De esta manera cuanto más probable y grave sea el riesgo del tratamiento, más medidas de protección de datos serán necesarias implantar para contrarrestarlos (nuevamente conviene aclarar que no se trata únicamente de medidas de seguridad técnica). Según el considerando 75: «Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variable, pueden deberse a tratamientos de datos que pudiera provocar daños y perjuicios físicos, materiales o inmateriales.» Con el objeto de poder tener una idea aproximada de lo que debe de ser considerado como riesgo, el considerando 75 del RGPD enumera aquellos tratamientos de datos que pueden ser considerados de riesgo para los derechos y libertades de los interesados: Tratamiento que puede dar lugar problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; Tratamiento que pueda privar a los interesados de sus derechos y libertades o impedirles ejercer el control sobre sus datos personales; Tratamiento de datos personales sensibles que revelen origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; Tratamiento en la elaboración de perfiles, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; Tratamiento de datos personales de personas físicas vulnerables, en particular de niños; Tratamiento que implica una gran cantidad de datos personales y que afecta a un gran número de interesados. Por otro lado, y según el considerando 76, dicho riesgo deberá ponderarse en algunos casos y evaluarse de forma objetiva en otros para determinar si existe un «riesgo» o un «riesgo alto». Por último, dado que el RGPD puede introducir situaciones de indeterminación en cuanto al riesgo a considerar en el tratamiento de datos, el considerando 77 establece que podrá proporcionarse más orientación sobre la identificación y evaluación de los riesgos del tratamiento de datos, y sobre la identificación de enfoques de mejores prácticas para mitigar esos riesgos, a través de códigos de conducta, certificaciones y directrices aprobadas por Comité, o incluso por el propio Delegado de Protección de Datos de la Organización. Por tanto, podemos comprobar que el enfoque de aproximación al riesgo supone que las medidas y políticas de protección de datos a implantar no serán aplicables por igual por todos los responsables y encargados, si no que se adoptarán en función del riesgo que se produzca en el tratamiento de datos para los derechos y libertades de los afectados. En este sentido, el enfoque de aproximación al riesgo en la implantación de medidas podrá jugar en un doble sentido: Adopción de medidas. Se aplicarán determinadas medidas en función de si se produce un alto riesgo para los derechos y libertades de los interesados. Ponderación dentro de la propia medida. En otros casos el riesgo funcionará como un factor de ponderación en la propia medida que deba ser implantada, estableciendo determinadas acciones específicas en función del riesgo existente. El enfoque basado en el riesgo se configura como un factor clave dentro del proceso de adecuación o cumplimiento de la normativa de protección de datos, ya que todo responsable o encargado deberá previamente analizar el nivel de riesgo en el que se encuentra respecto de los tratamientos de datos que realice o asuma. Los responsables de tratamiento deben de aplicar las medidas de protección de datos en función del enfoque de aproximación al riesgo atendiendo a la naturaleza, alcance, contexto y finalidades del tratamiento de datos, así como de los riesgos o probabilidades de intromisión en los Derechos y libertades. Los tratamientos que pueden ser considerados de riesgo son: aquellos que produzcan perjuicios económicos o sociales, priven del control de los datos a los interesados, traten datos sensibles, elaboren perfiles de comportamiento, afecten a personas vulnerables (niños), e impliquen una gran cantidad de datos o afecten a un gran número de interesados. El enfoque de aproximación al riesgo supone que las medidas y políticas de protección de datos a implantar no serán aplicables por igual por todos los responsables y encargados. 3.2 meDiDas De ResPOnsabiLiDaD PROactiva 3.2.1 regiStrO de actiVidadeS El Registro de actividades viene regulado en el art. 30 y considerandos 82 y 89 del RGPD. Los responsables o los encargados del tratamiento deberán mantener registros de las actividades de tratamiento que se encuentren bajo su responsabilidad. Ambos se encuentran obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros de modo que puedan servir para supervisar las operaciones de tratamiento. I. Alcance El cumplimiento de esta medida es obligatorio para: Organizaciones o empresas que empleen a más de 250 trabajadores. Organizaciones o empresas que realicen tratamientos de datos con las siguientes características:  Tratamientos que puedan ocasionar un riesgo para los derechos y libertades de los interesados o incluya categorías especiales de datos o aquellos relativos a condenas e infracciones penales.  Tratamientos que no sean ocasionales. II. Contenido La información que debe contener dichos registros, difiere en función de si se trata de un responsable de tratamiento o un encargado. En el caso de los responsables de tratamiento, los registros de actividades deberán incluir la siguiente información: El Nombre y los datos de contacto del responsable, y, en su caso, del corresponsable, del representante del responsable, y del Delegado de Protección de Datos; Los fines del tratamiento; Las categorías de interesados; Las categorías de datos personales; Las categorías de destinatarios; Las transferencias internacionales de datos y la documentación de las garantías adecuadas adoptadas; Los plazos previstos para la supresión de las diferentes categorías de datos;  Descripción general de las medidas técnicas y organizativas de seguridad. Por otro lado, en el caso de los encargados de tratamiento el Registro de Actividades deberá incluir la siguiente información: El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del Delegado de Protección de Datos; Las categorías de datos personales efectuadas por cuenta de cada responsable; Las transferencias internacionales de datos y la documentación de las garantías adecuadas adoptadas; Descripción general de las medidas técnicas y organizativas de seguridad. Por último, se establece que dichos Registros de Actividades deberán constar por escrito y quedar a disposición de la Autoridad de Control que lo solicite. Aunque de forma completamente distinta, el Registro de Actividades vendría en cierta medida a cubrir la obligación establecida por la normativa anterior respecto de la notificación de ficheros a las Autoridades de Control de datos, la cual expresamente ha sido eliminada por el RGPD a través del considerando 89: (89) Eliminación de la obligación de notificación de ficheros. La Directiva 95/46/CE estableció la obligación general de notificar el tratamiento de datos personales a las autoridades de control. Pese a implicar cargas administrativas y financieras, dicha obligación, sin embargo, no contribuyó en todos los casos a mejorar la protección de los datos personales. Por tanto, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial. responsables y encargados de tratamiento con más de 250 trabajadores estarán obligados a llevar un Registro de Actividades de los tratamientos de datos realizados por su organización. Los responsables y encargados de tratamiento con menos de 250 trabajadores también estarán obligados si realizan tratamientos no ocasionales y los mismos suponen un riesgo para los derechos y libertadas de los interesados o incluyen categorías especiales de datos o datos sobre condenas e infracciones. El registro de actividades es un elemento clave para determinar el ámbito de aplicación de las políticas de protección de datos. 3.2.2 priVacidad pOr defectO y priVacidad pOr diSeñO La protección de datos desde el diseño y por defecto viene establecida en el art. 25 y en el considerando 78 del RGPD. El objetivo de la protección de datos desde el diseño es incluir los principios de protección de datos dentro de las organizaciones de manera tal que los mismos estén presentes a lo largo de toda la vida del tratamiento, es decir, desde el momento en que se diseña, se pone en práctica y finalmente se suprime o finaliza el tratamiento. El RGPD establece que deberán aplicarse de forma eficaz medidas técnicas y organizativas adecuadas (como por ejemplo la seudonimización y minimización de datos) para aplicar los principios de protección de datos de forma eficaz y proteger los derechos y libertades de los interesados. De esta forma, la protección de datos desde el diseño supone la integración en las organizaciones o empresas de las garantías adecuadas para la protección de los datos desde el momento en que se determinan los medios del tratamiento, así como en el momento en que se realiza el propio tratamiento, debiendo tener en cuenta: El estado de la técnica. El coste de la aplicación. La naturaleza del tratamiento. El ámbito de aplicación. El contexto. Las finalidades del tratamiento. Los riesgos de diversa probabilidad y gravedad (no solo riesgo alto) que entrañe para los derechos y libertades de los interesados. En relación con la protección de datos por defecto, el RGPD señala que deberán aplicarse medidas técnicas y organizativas apropiadas con el objetivo de que solo sean objeto de tratamiento los datos personales realmente necesarios para cada uno de los fines específicos del tratamiento (principio de minimización). Dicha obligación abarcaría: A la cantidad de datos recogidos  A la extensión de su tratamiento. Al plazo de conservación. A la accesibilidad. Como ejemplo de protección de datos por defecto el RGPD pone el ejemplo particular de evitar la accesibilidad a un número indeterminado de personas sin que exista intervención del propio interesado. La protección de datos desde el diseño pretende incluir los principios de protección de datos dentro de las organizaciones a lo largo de toda la vida del tratamiento, es decir, desde el momento en que se diseña y se pone en práctica hasta que finalmente se suprime o finaliza. La protección de datos por defecto establece que deben de aplicarse medidas técnicas y organizativas apropiadas con el objeto de que se realice los tratamientos de datos realmente necesarios para