Inicio » Política de Privacidad
El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y será aplicable a partir del 25 de mayo de 2018 y modifica algunos aspectos del régimen actual respecto a la Protección de Datos de carácter personal conteniendo nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias. Habría que destacar algunos principios generales importantes que se introducen en la nueva regulación y que inspiran el desarrollo de este reglamento:
El Principio de responsabilidad proactiva.
La asociación, o entidad que trate datos personales tiene que actuar de forma diligente y proactiva y es la que tiene que aplicar las medidas técnicas y organizativas que sean apropiadas a fin de garantizar que el tratamiento de los datos esta conforme al nuevo reglamento y también de demostrar que esto es así. Este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo y determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
El enfoque de riesgo
Las medidas dirigidas a garantizar el cumplimento de este nuevo reglamento tienen que tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento de los datos así como el riesgo para los derechos y libertades de las personas. Es decir, las medidas que se adopten tienen que ser adecuadas a los datos que se traten, al tratamiento que se va a hacer y a las características de la asociación.
Legitimación para el tratamiento de los datos.
Todo tratamiento de datos personales necesita apoyarse en unas bases creadas para dicho tratamiento. La base que legitime el tratamiento de los datos hay que identificarla y documentarla claramente. Esta base puede ser una de las siguientes:
Por tanto, la obtención o tratamiento de los datos se basa en uno de los elementos relacionados en esta lista y es obligación de la entidad documentar e identificar claramente la base legal sobre la que se desarrollan los mismos, y concretamente al recoger los datos de las personas que nos los facilitan, tenemos que incluir información sobre la base legal para su tratamiento (si es por consentimiento, porque nos obliga alguna ley, etc.)
El consentimiento tiene que ser Inequívoco
La persona que dé sus datos tiene que expresar su consentimiento de una forma clara, inequívoca y en forma afirmativa. No se admiten formas de consentimiento tácito o por omisión. Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD. En ningún caso nadie debe seguir obteniendo consentimientos por omisión.
El consentimiento tiene que ser explícito
El consentimiento ha de ser explícito: Tratamiento de datos sensibles, adopción de decisiones automatizadas, transferencias internacionales.
Información a las Personas que nos dan sus datos
La información a las personas que cuyos datos se traten, debe darse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos. Hay que hacerlo por escrito, incluidos los medios electrónicos, evitando las fórmulas farragosas y que incorporan referencias a los textos legales.
Es obligatorio proporcionar los siguientes datos: base jurídica del tratamiento, intención en caso de haberla, de realizar transferencias internacionales y los datos del Delegado de Protección de Datos.
Derechos de las personas cuyos datos se tratan
1. Derechos RGPD
DERECHO DE ACCESO. El RGPD reconoce el derecho a obtener una copia de los datos personales objeto del tratamiento y se podrá atender a este derecho facilitando el acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales.
DERECHO AL OLVIDO. Es el derecho al borrado de los datos personales en caso de que el usuario así lo desee.
LIMITACIÓN DE TRATAMIENTO. A petición de las personas que han facilitado sus datos no se aplicarán a sus datos personales las operaciones de tratamiento que indiquen. Se puede solicitar esta limitación cuando se están ejerciendo los derechos de rectificación y oposición pero se está en proceso de atender esta solicitud, cuando el tratamiento es ilícito o no es necesario y habría que borrarlos pero la persona interesada se opone porque necesita esos datos para por el ejemplo la defensa de sus reclamaciones.
PORTABILIDAD. Los datos personales de las personas se transmiten directamente de un responsable del tratamiento de los mismos. Es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica. Este derecho sólo puede ejercerse cuando el tratamiento se efectúe por medios automatizados, cuando el tratamiento se base en el consentimiento, en un contrato o cuando el interesado lo solicita respecto a los datos que haya proporcionado al responsable y que le conciernan, incluidos los datos derivados de la propia actividad del interesado.
Con carácter general, las entidades tienen que facilitar a los interesados el ejercicio de sus derechos, los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos. Tiene que ser posible ejercitar, estos derechos por medios electrónicos, especialmente cuando el tratamiento se realiza por estos medios además tiene que ser gratuito para el interesado, salvo en los casos en que se formulen solicitudes manifiestamente infundadas o excesivas, especialmente por repetitivas en cuyo caso habrá que demostrar el carácter infundado para poder repercutir el coste de su gestión.
Hay que articular procedimientos que permitan fácilmente que los interesados puedan acreditar que han ejercido sus derechos por medios electrónicos. Se debe informar a las personas interesadas sobre las actuaciones derivadas de su petición en el plazo de un mes (o dos meses más cuando se trate de solicitudes especialmente complejas y deberá notificar esta ampliación dentro del primer mes)y si no se puede atender una solicitud, deberemos informar de ello, motivando la negativa, dentro del plazo de un mes desde su presentación.
Las entidades u organizaciones deberán tomar medidas para verificar la identidad de quienes soliciten acceso y de quienes ejerzan los restantes derechos ARCO.
Datos para el ejercicio de los derechos y obligaciones derivados del NUEVO RGPD:
Legitimación
La base que legitima el tratamiento de los datos por parte de la PVE siempre será una de las siguientes:
Finalidad y plazo
La PVE únicamente utilizará los datos para la prestación del servicio que haya motivado la obtención de los mismos y que se haya informado expresamente a las personas interesadas y para el plazo estrictamente necesario para ello y para el cumplimento de las pertinentes obligaciones legales, fiscales y contables.
Terceros
La PVE no cederá los datos obtenidos a terceros sin el consentimiento expreso e inequívoco de las personas interesadas.