Nuevo reglamento Europeo de Protección de Datos

Publicada el 28/10/2016

El 14 de Abril de 2016 se publicó el Reglamento Europeo de Protección de Datos

A pesar de que es una única norma para toda la Unión Europea, y de aplicación inmediata una vez entre en vigor, debe ser interpretada a nivel nacional, es decir, nuestra Agencia Española de Protección de Datos (en adelante, AEPD), deberá pronunciarse ya que en muchos artículos (unos 50) se deja la puerta abierta a los Estados Miembros para que regulen esos aspectos.

El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Se amplía el concepto de dato personal a prácticamente toda la información, incluido los identificadores únicos (como las cookies) y la dirección IP.

La Agencia recomienda a las organizaciones que vayan adaptando sus procesos, ya que la nueva normativa supone una gestión distinta de la que se viene empleando.

Consentimiento previo

Con este Reglamento se quiere dar más control a los interesados sobre su información privada al eliminar el consentimiento tácito, tanto en redes sociales, smartphones, banca online, etc., de forma que puedan decidir qué información quieren compartir, facilitando de este modo el acceso a sus datos personales y regulando el derecho al olvido. El usuario deberá dar su consentimiento expreso a través de un contrato. A partir de mayo de 2018, sólo tendrán legitimación suficiente los tratamientos basados en el consentimiento inequívoco, con independencia de cuándo se haya obtenido ese consentimiento.

Además este Reglamento permite al interesado oponerse al uso de datos personales para crear perfiles o solicitar la portabilidad de los datos de un prestador de servicios a otro.

INFORMACIÓN

En materia de información el RGPD incluye cuestiones adicionales que actualmente no son requeridas por la normativa española.

Es aconsejable que las organizaciones adapten sus políticas informativas a lo dispuesto por el Reglamento.

EVALUACIONES DE IMPACTO SOBRE LA PROTECCIÓN DE DATOS

Todo tratamiento que pueda potencialmente suponer un alto riesgo para los derechos de los interesados debe ser objeto de una Evaluación de Impacto. 

En los demás casos en que las evaluaciones puedan ser obligatorias, la Agencia considera que no debería esperarse a la fecha de aplicación del Reglamento para comenzar a utilizar esta herramienta.

DELEGADO DE PROTECCIÓN DE DATOS

Otro de los cambios significativos es la nueva figura del delegado de protección de datos. Las empresas deberán contratar un delegado (empresas públicas o con más de 250 trabajadores si cumple con lo establecido en el reglamento), que será el responsable de tomar las medidas de seguridad pertinentes en función del riesgo derivado de las operaciones de tratamiento de datos que realice la empresa, siempre que se requiera un seguimiento periódico y sistemático de los interesados a gran escala.

El Reglamento requiere que los Delegados de Protección de Datos (DPD) sean nombrados en función de sus cualificaciones profesionales.

RELACIÓN ENTRE RESPONSABLES Y ENCARGADOS

El Reglamento describe un contenido mínimo de los contratos de encargo de tratamiento que excede las previsiones contempladas en la Directiva.

La Agencia, en colaboración con las Agencias autonómicas, está trabajando en la preparación de unas recomendaciones para los contratos de encargo.

HERRAMIENTAS PARA PYMES Y HERRAMIENTAS SECTORIALES

La Agencia está trabajando en la preparación de herramientas que ayuden a responsables y encargados al entendimiento al cumplimiento del Reglamento. Entre ellas, hay que destacar un recurso online orientado a las pymes que realicen tratamientos de bajo o muy bajo riesgo.

Está previsto que este recurso se complemente con otros más avanzados, orientados a las pymes que desarrollan tratamientos que conllevan un nivel de riesgo algo mayor. Además la AEPD está trabajando junto a las Agencias autonómicas en cláusulas informativas adaptadas al nuevo Reglamento para sectores o tratamientos diferenciados.

FALLOS DE SEGURIDAD

En el caso en el que se produzcan violaciones de datos personales, los responsables deberán comunicarlo a la Agencia Española de Protección de Datos en un plazo de 72 horas y a los afectados cuando exista algún riesgo para sus derechos.

VENTANILLA ÚNICA

Se unifican las exigencias de protección de datos en toda la Unión Europea y se establece una única autoridad para resolver los conflictos transfronterizos.

SANCIONES

Se incrementan las sanciones para quienes incumplan la normativa: la más grave puede alcanzar los 20 millones de euros o el 4% de la cifra del negocio anual total de la empresa.

La AEPD está trabajando junto a las Agencias autonómicas en el desarrollo de la ley española sobre Protección de datos para que, una vez fijada, las empresas tengan claro cómo se va a desarrollar la misma y sus obligaciones respecto a la ley.