El comité de seguridad informática de la Unión Europea presentó hoy su informe sobre protección de datos con el GDPR. Estas son las recomendaciones clave según lo establecido en el informe que cubre jurisdicción, fiduciarios de datos, derechos principales de datos, transferencia de cumplimiento de datos personales y más.

Jurisdicción y aplicabilidad

La ley tendrá jurisdicción sobre el procesamiento de datos personales si dichos datos han sido utilizados, compartidos, divulgados, recogidos o procesados en la Unión Europea. Sin embargo, con respecto al procesamiento por parte de fiduciarios que no están presentes en Europa, la ley se aplicará a aquellos que realicen negocios en Europa u otras actividades tales como la creación de perfiles que puedan causar daños a la privacidad de los principales de datos. Además, se cubrirán los datos personales recopilados, utilizados, compartidos, divulgados o procesados ​​por compañías constituidas bajo la ley regional, independientemente de en qué país se procesen realmente. Sin embargo, la ley de protección de datos puede facultar al gobierno central para eximir a las empresas que solo procesan los datos personales de ciudadanos extranjeros no presentes en Europa.

La ley no tendrá aplicación retroactiva y entrará en vigor de forma estructurada y por etapas. Se cubrirá el procesamiento que está en curso después de la entrada en vigor de la ley. Se deben establecer plazos para las notificaciones de diferentes partes de la ley para facilitar el cumplimiento.

Tratamiento

1. La definición de datos personales se basará en la identificabilidad. La Autoridad de Protección de Datos puede emitir una guía explicando los estándares en la definición tal como se aplica a las diferentes categorías de datos personales en varios contextos.

2. La ley cubrirá el procesamiento de datos personales por entidades públicas y privadas.

3. Las normas para la anonimización y la desidentificación (incluida la seudonimización) pueden establecerse por el APD (Autoridad de Protección de Datos). Sin embargo, los datos no identificados continuarán estando dentro del alcance de esta ley. Los datos anónimos que cumplan con los estándares establecidos por el APD estarían exentos de la ley.

4. Los datos personales confidenciales incluirán contraseñas, datos financieros, datos de salud, identificador oficial, vida sexual, orientación sexual, datos biométricos y genéticos, y datos que revelen el estatus transgénero, estado intersexual, casta, tribu, creencias religiosas o políticas o afiliaciones de un individuo. Sin embargo, al APD se le otorgará el poder residual para notificar otras categorías de acuerdo con los criterios establecidos por la ley.

5. El consentimiento será una base legal para el procesamiento de datos personales. Sin embargo, la ley adoptará un marco de consentimiento modificado que aplicará un régimen de responsabilidad del producto para otorgar consentimiento, haciendo que el fiduciario sea responsable de los daños causados al principal de los datos.

6. Para que el consentimiento sea válido, debe ser libre, informado, específico, claro y capaz de ser retirado. Para datos personales confidenciales, el consentimiento tendrá que ser explícito.

7.Un productor de datos por debajo de la edad de dieciocho años se considerará un niño. Los fiduciarios de datos tienen la obligación general de garantizar que el procesamiento se realice teniendo en cuenta los mejores intereses del niño. Además, los fiduciarios de datos capaces de causar un daño significativo a los niños serán identificados como fiduciarios de datos de tutores. 8.Todos los fiduciarios de datos (incluidos los fiduciarios de datos de tutores) deberán adoptar el mecanismo de verificación de edad apropiado y obtener el consentimiento de los padres. Además, los fideicomisarios de datos del tutor, específicamente, estarán excluidos de ciertas prácticas.

El Comité ha reconocido el principio de otorgar derechos a las personas sobre los datos que generan. Ellos son:

Derechos principales sobre datos:

1. El derecho de confirmación, acceso y corrección debe incluirse en la ley de protección de datos.

2. El derecho a la portabilidad de datos, sujeto a excepciones limitadas, debe incluirse en la ley.

3. El derecho a oponerse al procesamiento; derecho a oponerse al marketing directo, derecho a objetar decisiones basadas únicamente en el procesamiento automatizado, y no es necesario que el derecho a restringir el procesamiento esté previsto en la ley por los motivos expuestos en el informe.

4. El derecho a ser olvidado puede ser adoptado, con el Ala de Adjudicación del APD determinando su aplicabilidad sobre la base de los criterios de cinco puntos de la siguiente manera:

-La sensibilidad de los datos personales busca ser restringida;

-La escala de revelación o grado de accesibilidad busca ser restringida;

-El papel del principal de datos en la vida pública (si el principal de datos es públicamente reconocible o si sirven en un cargo público);

-La relevancia de los datos personales para el público (ya sea que el paso del tiempo o el cambio en las circunstancias hayan modificado dicha relevancia para el público); y

-La naturaleza de la divulgación y las actividades del fiduciario de datos (si el fiduciario es una fuente creíble o si la divulgación es una cuestión de registro público, además, el derecho debe centrarse en restringir la accesibilidad y no la creación de contenido).

5. El derecho a ser olvidado no estará disponible cuando el Ala de Adjudicación del APD determine al realizar la prueba de equilibrio que el interés del director de datos en limitar la divulgación de sus datos personales no anula el derecho a la libertad de expresión así como el derecho a la información de cualquier otro ciudadano.

6. El APD especificará el período de tiempo para implementar dichos derechos por parte de un fiduciario de datos, según corresponda.