El Grupo de Autoridades Europeas de Protección de Datos (Grupo de Trabajo del Artículo 29) ha aprobado y dado a conocer una serie de directrices y documentos de preguntas frecuentes dirigidas a responsables y encargados de tratamiento de datos.
Estas hacen referencia al derecho a la portabilidad de datos, los delegados de protección de datos (Data Protection Officer, DPO, en inglés) y los criterios de identificación de la “autoridad líder”.
El artículo 20 del RGPD ha creado un nuevo derecho a la portabilidad de los datos, relacionado con el derecho de acceso a los mismos regulado en el art. 15 del Reglamento, pero que presenta algunas diferencias. El principal objetivo de este nuevo derecho es dar poder al titular de los datos, así como un mayor control sobre los datos personales que le conciernen.
El derecho a la portabilidad de datos permite la transmisión directa de datos personales de un responsable de tratamiento de datos a otro. De esta manera se constituye una herramienta importante para favorecer el libre flujo de datos personales en la UE y, a su vez, fomentar la competencia. Va a facilitar el cambio entre diferentes proveedores de servicios, y por ello favorecer el desarrollo de nuevos servicios en el contexto de la estrategia del mercado único digital.
Esta guía del Grupo de Trabajo del artículo 29 pretende ofrecer una orientación sobre la manera de interpretar y aplicar el derecho a la portabilidad de los datos, conforme con el RGPD. En ella se aclaran las condiciones de aplicación de este nuevo derecho conforme a la nueva normativa (desde la necesidad de consentimiento del titular a la de formalizar un contrato).
El documento proporciona también ejemplos concretos para explicar las circunstancias en las que se aplica este derecho. En base a esto, cabe destacar que el Grupo de Trabajo considera que el derecho a la portabilidad de datos cubre los datos proporcionados a sabiendas y activamente por su titular, y también los datos personales generados por su actividad. Es decir, que este nuevo derecho no puede considerarse limitado a la información personal comunicada directamente por una persona titular de los datos, por ejemplo mediante un formulario en línea.
Destruccion de Documentos y Responsables de Datos
Además, el documento pretende ayudar a los responsables de los datos a que entiendan mejor sus obligaciones, recomendando las mejores prácticas y herramientas para facilitar el ejercicio del derecho de los titulares de los datos.
Por último, el dictamen recomienda que las partes interesadas trabajen de manera conjunta en el desarrollo de las normas comunes y formatos interoperables para cumplir con los requisitos exigidos para el ejercicio de este derecho a la portabilidad de los datos.
El Grupo de Trabajo destaca que la figura del DPO, regulado en los arts. 37 a 39 del Reglamento Europeo, va a ser fundamental para la política de protección de datos de muchas organizaciones, facilitando el cumplimiento de lo dispuesto por el RGPD.
De acuerdo con el Reglamento, la existencia de un DPO será obligada para determinadas entidades que gestionen o traten datos personales, como autoridades y organismos públicos (excepto los tribunales), así como otras entidades cuya actividad principal consista en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o en el tratamiento a gran escala de categorías especiales de datos personales, con arreglo al artículo 9, y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
Fuente: Noticias Jurídicas