Nuevo Reglamento General de Protección de Datos europeo

Nuevo Reglamento de Protección de Datos de la Unión Europea

El Parlamento Europeo y el Consejo han aprobado finalmente el Reglamento General de Protección de Datos (RGPD), que, con el objetivo de unificar los regímenes de todos los Estados Miembros sobre la materia, entró en vigor el 25 de mayo de 2016, no obstante su cumplimiento será obligatorio transcurridos dos años desde dicha fecha.

Estas son las principales novedades que establece la Ley orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD):

  • PRINCIPIO DE RESPONSABILIDAD. Habrá que implementar mecanismos que permitan acreditar que se han adoptado todas las medidas necesarias para tratar los datos personales como exige la norma. Las organizaciones deben ser capaces de demostrar que cumplen dichas exigencias, lo cual obligará a desarrollar políticas, procedimientos, controles, etc.
  • PRINCIPIO DE PROTECCIÓN DE DATOS POR DEFECTO Y DESDE EL DISEÑO. Se deberán adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de datos, como regla y desde el origen.
  • PRINCIPIO DE TRANSPARENCIA. Los avisos legales y políticas de privacidad deberán ser más simples, inteligibles y más completos, facilitando así su comprensión. Incluso se prevé que, con el fin de informar sobre el tratamiento de los datos, puedan utilizarse iconos normalizados.

Obligaciones para las empresas

  • En ocasiones, será obligatorio designar un Delegado de Protección de Datos (DPO), interno o externo, que asista a las organizaciones en el proceso de cumplimiento normativo. No obstante, la complejidad de la nueva norma hará muy recomendable esta figura en la inmensa mayoría de organizaciones.
  • En ciertos casos, se deberán realizar EVALUACIONES DE IMPACTO SOBRE LA PRIVACIDAD, que determinen los riesgos específicos que supone tratar ciertos datos de carácter personal y prevean medidas para mitigar o eliminar dichos riesgos.
  • Las empresas multinacionales tendrán como interlocutora a una sola autoridad de control nacional: la del establecimiento principal. Es lo que se conoce como VENTANILLA ÚNICA.
  • Las BRECHAS DE SEGURIDAD deberán ser comunicadas a las autoridades de control y, en casos graves, a los afectados, tan pronto sean conocidas, estableciéndose un plazo máximo de 72 horas.
  • DATOS SENSIBLES: Se amplían los datos especialmente protegidos, incluyendo ahora los datos genéticos y biométricos. Se incluyen también en esta categoría las infracciones y condenas penales, aunque no las administrativas.
DF-SERVER lideres en transformación digital
  • La SELECCIÓN de un encargado de tratamiento se endurece, puesto que habrá que elegir uno que aporte suficientes garantías de cumplimiento normativo.
  • GARANTÍAS ADICIONALES PARA LAS TRANSFERENCIAS INTERNACIONALES DE DATOS: Establecimiento de garantías más estrictas y mecanismos de seguimiento en relación con las transferencias internacionales de datos fuera de la Unión Europea.
  • SELLOS Y CERTIFICACIONES: Se prevé que se creen sellos y certificaciones de cumplimiento que permitan acreditar el principio de responsabilidad por parte de las organizaciones.
  • DESAPARECE LA OBLIGACIÓN DE INSCRIBIR LOS FICHEROS, que se sustituye por un control interno y, en algunos casos, un inventario de las operaciones de tratamiento de datos que se realicen, que se intuye de un contenido similar al que actualmente tiene el formulario NOTA.
  • SANCIONES: Las sanciones por incumplimiento de la norma pueden llegar a los 20 millones de euros o el 4% de la facturación global anual.

Derechos para el ciudadano

  • TRANSPARENCIA e INFORMACIÓN. Las organizaciones, al tratar datos personales, deben proporcionar mayor información y de un modo más inteligible, completo y sencillo, lo que favorecerá la toma de decisiones por el ciudadano. Se tiene una especial sensibilidad con los menores de edad en este punto.
  • El consentimiento para poder tratar datos de carácter personal ha de ser inequívoco, libre y revocable y deberá darse mediante un acto afirmativo claro. No se admite consentimiento tácito.
  • DERECHO AL OLVIDO. Se podrá revocar el consentimiento prestado para el tratamiento de datos personales en cualquier momento, pudiendo exigir la supresión y eliminación de los datos en redes sociales o buscadores de internet.
  • DERECHO A LA LIMITACIÓN DEL TRATAMIENTO. Permite al ciudadano solicitar el bloqueo temporal del tratamiento de sus datos cuando existan controversias sobre su licitud.
  • PORTABILIDAD DE LOS DATOS. Se permitirá al ciudadano solicitar la transferencia de los datos personales de un proveedor de servicios en Internet a otro.
  • DENUNCIAS. Se podrán presentar denuncias a través de asociaciones de usuarios.
  • INDEMNIZACIONES. Se reconoce la posibilidad de exigir indemnización de daños y perjuicios derivados del tratamiento ilícito de los datos personales.

¿Qué conclusión sacamos nosotros del Nuevo Reglamento de Protección de Datos?

No obstante, con respecto a todo lo anterior, aún existen muchos aspectos pendientes de desarrollo y concreción. Los Estados Miembros, el Comité Europeo de Protección de Datos, etc. deberán precisar multitud de elementos que aparecen en el RGPD demasiado ambiguos o inconcretos.

En todo caso, las disposiciones contenidas en el Reglamento son directamente aplicables en cada uno de los Estados Miembros, sin necesidad de trasposición, y obliga a las empresas privadas e instituciones públicas a afrontar un importante proceso de readaptación normativa.

Sin embargo, el Nueva Reglamento General de Protección de Datos no deroga automáticamente la LOPD y su Reglamento de desarrollo. Simplemente desplaza aquellas normativas en la medida en que resulten incompatibles con él. En aquellos ámbitos en que dicha incompatibilidad no se produzca, ambas normativas coexistirán, lo que hace prever problemas prácticos e interpretativos, cuya resolución exigirá la asistencia de profesionales especializados que ofrezcan suficientes garantías.

El proceso de readaptación no es técnicamente fácil, por lo que será importante para las empresas contar con un asesoramiento jurídico especializado que ofrezca suficientes garantías.

Síguenos en:

¿Quieres conocer nuestro producto totalmente gratis?