Introducción a la Protección de datos
La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. Estos avances requieren un marco más sólido y coherente para la protección de los datos en la Unión Europea con el fin de homogeneizar y generar confianza que permita a los ciudadanos tener el control de sus propios datos personales.
El nuevo Reglamento General de Protección de Datos (en adelante RGPD) cuya entrada en vigor se produjo en mayo de 2016 y de obligado cumplimiento a partir de mayo de 2018, es una norma jurídica directamente aplicable en los estados miembros de la CEE, que no requiere de normas internas de trasposición ni tampoco, en la mayoría de los casos, de normas de desarrollo o aplicación. Por ello, los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales, como venía sucediendo hasta ahora con la Directiva 95/46.
El RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias. Dos elementos de carácter general constituyen la mayor innovación del RGPD para los responsables de tratamiento y se proyectan sobre todas las obligaciones de las organizaciones:
El principio de responsabilidad proactiva
El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al Reglamento.
En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé en conjunción con el ENS (Esquema Nacional de Seguridad), asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
En definitiva, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
El enfoque de riesgo
El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas.
De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.
El mapa de riesgos surgido en la organización no es estático, con frecuencia estará asociado a la tecnología y, por lo tanto, evolucionar. El catálogo o mapa de riesgos debe estar realimentado con el resultado de cambios y experiencias de la organización (incidencias, actualizaciones de infraestructura, cambios normativos, etc.). A cada riesgo, siempre que sea posible, se le asociará al menos una salvaguarda y, por lo tanto, existirá un mapa de riesgos y otro de salvaguardas. En la práctica esta actualización es un ciclo o proceso de mejora continua que nos garantiza la puesta al día.
LOPDGDD
Es España, además ha sido aprobada la nueva regulación sobre protección de Datos Personales, Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD). Esta nueva normativa, que adapta el derecho español al modelo establecido por el Reglamento General de Protección de Datos (RGPD), introduce novedades mediante el desarrollo de materias contenidas en el mismo.
La Ley facilita que los ciudadanos puedan ejercitar sus derechos al exigir, en particular, que los medios para hacerlo sean fácilmente accesibles. Además, se regula el modo en que debe informarse a las personas acerca del tratamiento de sus datos optándose, específicamente en el ámbito de Internet, por un sistema de información por capas que permita al ciudadano conocer de forma clara y sencilla los aspectos más importantes del tratamiento, pudiendo acceder a los restantes a través de un enlace directo.
Otro de los aspectos novedosos incluidos en la nueva normativa es que se reconoce específicamente el derecho de acceso y, en su caso, de rectificación o supresión por parte de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y a sus herederos. La medida limita el ejercicio de estos derechos cuando el fallecido lo hubiera prohibido.
En cuanto a los menores, la Ley fija en 14 años la edad a partir de la cual se puede prestar consentimiento de manera autónoma. También se regula expresamente el derecho a solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad de la información por el propio menor o por terceros durante su minoría de edad.
La Ley refuerza las obligaciones del sistema educativo para garantizar la formación del alumnado en el uso seguro y adecuado de Internet, incluyéndola de forma específica en los currículums académicos y exigiendo que el profesorado reciba una formación adecuada en esta materia.
El texto regula, asimismo, el derecho al olvido en redes sociales y servicios de sociedad de la información equivalente. Se exceptúa la supresión cuando los datos hubieran sido facilitados por terceros en el ejercicio de actividades personales o domésticas.
Novedosamente se recogen los sistemas de denuncias internas anónimas, a través de las cuales puede ponerse en conocimiento de una entidad privada la comisión de actos o conductas que pudieran resultar contrarios a la normativa.
Además, la Ley actualiza las garantías del derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. Asimismo, refuerza las garantías del derecho a la intimidad en relación con el uso de dispositivos digitales puestos a disposición de los empleados, complementando la regulación del derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, de los que deberán ser informados.
La Escuela Oficial de Idiomas de Avilés, tiene entre sus objetivos, garantizar este derecho a todas aquellas personas que con ella se relacionan: estudiantes, profesores, personal de administración y servicios y, en general, cualquier otro ciudadano que en algún momento de su vida tenga relación con nuestra Escuela.