El Reglamento General de Protección de Datos entró en vigor en mayo de 2016 pero será aplicable a partir de mayo de 2018. En este periodo transitorio continuarán vigentes las leyes nacionales en materia de protección de datos, en nuestro caso la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento de desarrollo aprobado por Real Decreto 1720/2007, de 21 de diciembre.
De esta manera se pretende armonizar las normativas en materia de protección de datos existentes en cada uno de los Estados de la Unión Europea, pues resulta ineficaz que ante un mismo ataque a los derechos de un individuo en este ámbito desde las instituciones se tenga una respuesta dispar en función del Estado en el que dicho ataque tenga lugar.
En este sentido la Agencia Española de Protección de Datos ha publicado guías y directrices para que en este periodo transitorio los responsables y los encargados puedan adaptarse a la nueva realidad normativa que será exigible a partir de 2018.
¿Qué ocurrirá con la LOPD?
Al ser el RGPD una norma directamente aplicable, no requiere normas de desarrollo o de transposición. Sin embargo, la ley que sustituirá a la actual LOPD sí podrá desarrollar o incluir aspectos en materias en las que el RGPD lo permite. En este sentido, se ha optado por modificar la actual LOPD según las declaraciones de la Directora de la Agencia Española de Proteccion de Datos (AEPD), Mar España, anunciando que el primer borrador del anteproyecto de ley de modificación de la LOPD estará listo en marzo.
¿Cuáles son las novedades más sustanciales para los responsables?
Si bien el Reglamento General de Protección de Datos (en adelante, RGPD) contiene muchos conceptos, principios y mecanismos similares a los fijados por la Directiva 95/46 y la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, modifica algunos aspectos y contiene nuevas obligaciones. La mayor innovación del RGPD para los responsable según la propia Agencia Española de Protección de Datos se proyecta en dos elementos: el principio de responsabilidad proactiva y el enfoque de riesgo.
El principio de responsabilidad proactiva exige a la organización conocer qué datos trata y cuál es la finalidad y tipo de tratamiento de los mismos. A esta actitud consciente, se ha de añadir una actitud diligente y proactiva por parte de la organización para determinar de forma explícita de qué manera aplicarán las medidas exigidas por el RGPD.
De acuerdo con la exigencia del enfoque de riesgo, las medidas establecidas por el Reglamento deberán adaptarse y modularse en función del tipo de riesgo que el tratamiento presente para los derechos y libertades.
A lo largo de todo el nuevo Reglamento podemos apreciar una especial preocupación por el estudio previo y continuado del riesgo que cada tratamiento tiene para los tratamientos. Ésto se traduce en la exigencia de una mayor implicación por parte de los responsables y los encargados de tratamiento con una actitud proactiva y consciente en materia de protección de datos. Desde GESPRODAT mantenemos informados a nuestros lectores sobre los cambios que se producen en relación con el nuevo Reglamento mediante la publicación de sucesivos posts a partir del mes de marzo.
