El nuevo Reglamento General de Protección de Datos fue aprobado hace ya casi dos años, lo que significa que a partir del 25 de mayo de 2018 se acabará el tiempo de adaptación que dejó la Unión Europea. ¿Qué cambios trae el RGPD? ¿Cómo afecta al consentimiento informado?
El 25 de mayo de 2016 la UE aprobó el Reglamento General de Protección de Datos (RGPD), con el objetivo de contar con una política de protección de datos única en todo el territorio de la unión. Dicho reglamento por lo tanto reemplaza a cualquier ley de los países miembros en dicha materia. En el caso de España, dicha ley es la conocida LOPD – Ley Orgánica de Protección de Datos-.
Como ya os adelantábamos por aquellas fechas en nuestro blog, la UE dejó un periodo de dos años como para la adaptación de la normativas entonces vigentes y los procesos de las instituciones y entidades que custodien, procesen o simplemente traten con información de carácter personal. Así, a partir del 25 de mayo de 2018, este reglamento será de obligatorio cumplimiento.
Este cambio de legislación se ha realizado principalmente con los intereses del usuario en mente, que tendrá una mayor protección de su privacidad y más derechos con respecto al tratamiento de sus datos. Es por ello por lo que afecta al proceso de obtención del consentimiento informado puesto que además, en muchos casos incluye información sensible.
Dos campos en los que el consentimiento informado toma especial importancia son el clínico y los laboratorios puesto que trabajan no solo con datos personales estándar, sino con lo que se conoce como información sensible. Así la importancia de la correcta aplicación de la RGPD es aún mayor en estos sectores. Además, la modificación de la definición del consentimiento también repercutirá en la forma de adquirirlo y a los propios procesos de cada empresa.
¿Qué cambios introduce el Reglamento General de Protección de Datos?
En un esfuerzo por eliminar las trabas burocráticas, la inscripción de los datos en la autoridad correspondiente, en nuestro caso la Agencia Española de Protección de Datos (AEPD), ya no será necesaria, pero la empresa tiene la obligación de llevar un registro interno.
Para que el usuario esté más prevenido de lo que ocurre con sus datos, las violaciones de seguridad deben notificarse en un plazo máximo de 72 horas. En cuanto a las medidas preventivas, ahora la RGPD establece la obligación de adoptar medidas de seguridad ajustadas a los riesgos específicos para la privacidad en cada empresa.
La figura del Delegado de Protección de Datos cobra gran importancia, ya que es la persona encargada de supervisar la seguridad de los datos y la que servirá de enlace de comunicación con la autoridad competente.
La protección del usuario se ve reforzada gracias a varios derechos y modificaciones que están destinadas a aumentar su capacidad de decisión y control sobre sus propios datos. El derecho al olvido le permite exigir que los datos personales sean eliminados una vez se haya cumplido con el fin para el que fueron recogidos.
Con el derecho a la portabilidad, el usuario puede hacer uso de él si desea recuperar sus datos en un formato que le permite transferirlos a otro responsable diferente. Finalmente, llegamos a la modificación de la definición del consentimiento, que pasamos a desgranar con todas las implicaciones que conlleva.
Cambios en la obtención del consentimiento
El consentimiento es el acto por el cual el interesado acepta el tratamiento de sus datos personales. La nueva RGPD mantiene esta definición, pero modifica las circunstancias necesarias en las que se produce este consentimiento.
El artículo 4.11 dice así: “El consentimiento es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.”
Este cambio quiere decir que lo que se conocía anteriormente como consentimiento sobreentendido o tácito ya no es válido, y así se especifica claramente en el reglamento que “el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”.
La “clara acción afirmativa” se especifica que “podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales”. Viafirma Documents permite de manera muy sencilla incluir texto marcado de lectura y aprobación inequívoca.
Veamos una por una las principales características del consentimiento en el RGPD y qué significan:
Libre
En primer lugar, el consentimiento tiene que ser libre, es decir, el interesado debe tener una opción real de aceptar o no, y en el caso de que decida rechazar el consentimiento, no sufra consecuencias negativas.
Específico
El consentimiento ha de ser específico, lo que quiere decir que las finalidades del tratamiento de los datos cedidos deben aparecer de manera específica y en ninguno de los casos se puede ampliar una vez el interesado ha consentido la recogida y el tratamiento de sus datos.
El uso de soluciones de firma digital adaptadas a la normativa como es el caso de Viafirma Documents, facilita el cumplimiento de este requisito a través de la encriptación de la información y un sello de tiempo que garantiza la inalterabilidad del documento tras la firma..
Granular
El consentimiento debe ser granular, esto es que haya una opción de consentimiento para cada finalidad de los datos cedidos, e informado, es decir, que el documento incluya la necesidad, la finalidad y la temporalidad del tratamiento de los datos, y los derechos del interesado y cómo ejercerlos e información respecto al Responsable y/o Encargado del Tratamiento de Datos, así como del Delegado de Protección de Datos en su caso.
De esta forma, soluciones como Viafirma documents que cuentan con un editores de plantillas para crear los documentos de consentimiento, permiten garantizar el cumplimiento de este requisito de una forma simple e intuitiva.
Acreditable
Por último, el consentimiento debe ser acreditable gracias al principio de responsabilidad proactiva (accountability). No sólo hace falta cumplir todos los requisitos anteriores, sino que también hay que ser capaz de verificar varios detalles a posteriori.
La empresa debe identificar al firmante con su nombre completo u otros elementos igualmente válidos. Viafirma Documents permite añadir varias evidencias para la ayuda de la identificación inequívoca del firmante, como fotografías y datos biométricos, geolocalización, etc.
De ser un consentimiento realizado por escrito y por un medio online, es obligatorio tener el sello de tiempo para la verificación. En cuanto a la información que obtuvo el interesado, se recomienda un modelo de dos capas. En la primera se ofrece la información básica para el interesado y en la segunda completar con la información complementaria necesaria para cumplir con el RGPD.
En definitiva, después de este repaso por las novedades del nuevo reglamento implantado por la Unión Europea, soluciones como Viafirma Documents resultan ahora más que nunca necesarias para cumplir con el RGPD, sobre todo, si tenemos en cuenta que sólo un 10% de los negocios españoles está preparado, según una encuesta elaborada por Microsoft e IDC.
Volvemos la semana que viene.