El nuevo Reglamento de la Unión Europea para la protección de datos –que modifica el de 1996- se presentará para su tramitación en el Consejo de la Unión y luego se derivará al Parlamento Europeo para que se apruebe. Se prevé que el nuevo Reglamento entre en vigor esta primavera, pero su aplicación será a partir de la primavera de 2018.
Este nuevo Reglamento supone un añadido a las disposiciones, directivas, recomendaciones y otra documentación relativa al derecho de las nuevas tecnologías y su cometido es establecer los fundamentos, prerrogativas y directrices que las agencias de protección de datos de los estados miembros deberán seguir para el almacenamiento y trato, y es una fuente de información básica que toda consultoría de protección de datos tendrá que tener muy en cuenta en sus actuaciones (hasta ahora basadas en lo que disponía la LOPD y la LSSICE).
¿Qué pretende este nuevo reglamento frente al anterior?
El nuevo Reglamento actualiza y moderniza los presupuestos de la Directiva de 1995, poniendo un énfasis especial a los derechos de los ciudadanos frente al almacenamiento, tratamiento y transmisión de sus datos y a las obligaciones a las que están sujetas los responsables y los encargados del tratamiento de datos.
Asimismo, se recogen los métodos que se usarán para hacer cumplir los preceptos del reglamento europeo y una descripción del alcance de las sanciones por su quebrantamiento. A continuación, describimos al detalle las modificaciones más importantes que plantea el documento:
Derechos de los «interesados»
Se recoge la definición de interesado para referirse al ciudadano cuyos datos están sometidos a almacenaje y tratamiento por un organismo o empresa. El interesado, por lo tanto, dispone de los siguientes derechos:
– Desde la entrada en vigor de esta Directiva el ciudadano deberá dar su consentimiento expreso e inequívoco al tratamiento de sus datos personales, sea en el formato que sea (papel, informático, etc.).
– El acceso a sus datos personales deberá ser mucho más sencillo de lo que es ahora, una situación en la que se da una vulnerabilidad del ciudadano por la dificultad que entraña esta acción.
– Se introduce una novedad que causó polvareda hace unos años en el Tribunal de Justicia Europeo: el derecho al “olvido” que tiene que tener todo ciudadano respecto a la eliminación permanente de sus datos personales, en especial en el mundo digital. Esta novedad, que emerge como derecho, se suma a los derechos ya reconocidos de acceso, rectificación y modificación.
– Se recoge el derecho de todo ciudadano a oponerse a que se establezcan perfiles con sus datos personales.
– En cuanto al derecho de los responsables y los encargados, se establece el derecho de estos a la portabilidad de datos, pero se les conmina a ofrecer en todo momento información trasparente y procurar un acceso fácil a ella a los interesados sobre el tratamiento de sus datos.
El riesgo como metodología
El nuevo Reglamento determina cuáles son las obligaciones de los responsables que tienen en “propiedad” los datos personales y las de los encargados de su tratamiento. Una de estas obligaciones se basa en una metodología basada en el riesgo: Las medidas de seguridad que los susodichos deban aplicar a cada casuística en concreto que se derive de su tratamiento.
En este sentido, en las ocasiones en que tanto empresas como autoridades públicas que prevean operaciones con un alto nivel de riesgo en el tratamiento de datos deberán nombrar a un delegado de prevención de datos.
Asimismo, serán los mismos responsables quienes tengan el deber de notificar las violaciones de datos personales a las autoridades públicas.
Una autoridad de control independiente
Se establece la obligación de que los estados miembros de la Unión creen una «autoridad de control independiente” y nacional. El texto también establece la necesidad imperativa de actuar con disposiciones únicas a nivel transfronterizo, cuando varios entes nacionales de diferentes estados miembros realicen tareas de supervisión.
Estas disposiciones únicas de actuación se conocerán con el concepto de “ventanilla única”, de modo que una empresa con filiales en varios países miembros de la Unión solo deberá mediar con la autoridad responsable de la materia de protección de datos del país de su sede principal.
El Consejo Europeo de Protección de Datos reunirá a los máximos representantes de la materia de los 28 estados miembros.
[Tweet «Se podrán imponer sanciones de hasta 20 millones de euros en infracciones muy graves.»]
Reclamaciones y sanciones
Los interesados estarán facultados para poner reclamaciones a las autoridades de control y sustantivar los recursos judiciales que se deriven.
La novedad más notable es la que establece la cuantía de las sanciones en función de su gravedad, ya que se podrán imponer sanciones de hasta veinte millones de euros (o el 4 % anual de la facturación de la empresa) en las infracciones muy graves. El responsable de imponer estas sanciones será siempre la autoridad administrativa que se encargue de la vigilancia y la supervisión.