El nuevo Reglamento Europeo de Protección de Datos

El pasado 25 de mayo de 2016 se produjo la entrada en vigor del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679). El objeto de este reglamento es establecer una serie de normas relativas a la protección de las personas físicas respecto al tratamiento de datos personales y a la libre circulación de dichos datos. En definitiva, proteger los datos personales de los ciudadanos de la Unión.

Si bien no será aplicable hasta el 25 de mayo del 2018, tiempo suficiente para que las empresas y las autoridades competentes de los Estados Miembros inicien la transición entre la normativa anterior y la nueva que está por llegar, conviene ir destacando sus novedades más relevantes, y preparar así el terreno para una correcta aplicación del mismo, una vez llegue la fecha indicada.

Por ello, desde BasqueLaw Abogados, hemos querido hacer un resumen de dichas novedades, para así facilitar a nuestros clientes y seguidores la adecuada comprensión de los derechos y deberes que pronto les serán de aplicación.

Ámbito territorial

La principal novedad de la presente normativa es su carácter unificador, sobre toda la legislación existente en los países de la Unión. Esto supone una garantía para los ciudadanos europeos, ya que hasta ahora había empresas que podían tratar datos de personas de la Unión, y que se regían, por la normativa de otros países que no ofrecían tantas garantías o los mismos niveles de protección que la normativa europea.

Con la entrada en vigor de este nuevo reglamento, aquellas empresas que traten datos pertenecientes a ciudadanos de la Unión Europea o que comercialicen bienes y servicios dentro de la Unión Europea sin tener establecimiento en dicho territorio tendrán que cumplir también con el reglamento.

Otra de las novedades del Reglamento es un endurecimiento de las sanciones en aquellos casos en los que se produzca un incumplimiento. Pudiéndose llegar a imponer multas de hasta 20 millones de euros o hasta el 4% del volumen de negocios a nivel mundial de la organización infractora.

Mayor protección de los interesados

Una de las cuestiones fundamentales en el tratamiento de datos de carácter personal es el consentimiento del interesado. Hasta ahora nuestra normativa permitía el denominado “consentimiento tácito”, es decir consentimiento por omisión. Pero con esta nueva normativa el consentimiento implícito no será válido. Es necesario que el interesado manifieste expresamente o de forma afirmativa que presta su consentimiento. De otra parte, se establece el límite en 16 años para el tratamiento de datos de carácter personal de menores. Este límite podrá ser inferior, dependiendo de la normativa de cada Estado miembro, pero nunca podrá ser inferior a los 13 años.

Hasta ahora los interesados tenían en su poder un conjunto de derechos (Comúnmente conocidos como ARCO) que garantizaban a las personas el poder de control sobre sus datos personales. Los Derechos ARCO son aquellos que comprendían el acceso, rectificación, cancelación y oposición de los datos personales. La nueva normativa amplía estos derechos incluyendo otros tales como, el derecho a la portabilidad, limitación, supresión –derecho al olvido- y transparencia de la información.

Deber de Información en la recogida de datos

Otro aspecto importante es el deber de informar al interesado durante el proceso de recogida de datos personales, de la existencia de un fichero, quién es la persona que se encuentra a cargo del mismo, la finalidad de la recogida datos y quiénes serán los destinatarios de dichos datos, así como también cómo ejercitar los derechos de acceso, rectificación, cancelación y oposición.

El nuevo reglamento incluye otras obligaciones, tales como explicar la base legal para el tratamiento de los datos, cuál será el periodo de conservación de los mismos y que los interesados podrán dirigirse a las Autoridades de protección de datos, si consideran que ha habido alguna irregularidad con la forma en que se han estado tratando sus datos personales.

Prevención de riesgos y notificación de fallos

Para todos aquellos aspectos relativos a la seguridad en la protección de datos personales, el nuevo Reglamento crea la figura del Responsable de Seguridad, que será obligatorio siempre que la organización se encargue del tratamiento de ficheros que tengan un nivel medio o alto. El Responsable de Seguridad será el encargado de adoptar las siguientes medidas de seguridad que se recogen en el nuevo reglamento:

  • La evaluación de impacto; que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad del riesgo, a aquellas organizaciones que traten con datos que entrañen alto riesgo para los derechos y libertades de las personas físicas.
  • La notificación de los fallos de seguridad que se hayan producido en su organización a la autoridad competente, en este caso, la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas.

Por otro lado, cuando una determinada organización trate de forma habitual datos especialmente sensibles o de riesgo para la privacidad de los interesados, deberán contar con un registro de las actuaciones que hayan llevado a cabo bajo su propia responsabilidad. Según el art. 30 del Reglamento General de Protección de Datos deberá contener información relativa a los tratamientos de datos que se realicen; por ejemplo, los destinatarios de los datos, los plazos previstos para la supresión de los mismos, los datos personales que se tratan, la finalidad del tratamiento de datos, así como también las medidas de seguridad que adopte la organización para proteger esos datos.

Conclusión

En definitiva, la entrada en vigor de esta norma va a suponer un cambio en la forma de entender y aplicar las normas de protección de datos, en especial, para aquellas empresas, entidades y organizaciones que tratan de forma habitual con datos de especial sensibilidad, los cuales van a tener que soportar un mayor número de obligaciones, tendentes a evitar los riesgos en la difusión de dichos datos. Para el resto de empresas, tampoco será una norma a pasar por alto, ya que la mayor protección del usuario también llevará aparejada una serie de procesos. Estos, si bien tendrán una menor dificultad para ser llevados a cabo, comportarán un riesgo de sanción igualmente importante en caso de omisión.

¿Te ha gustado este articulo?

Si tienes dudas, quieres ampliar la información, o quieres realizarnos una consulta, contáctanos.