El 27 de abril de 2016, el Parlamento Europeo aprobaba un Reglamento sobre Protección de Datos, que sustituirá a la anterior Directiva (1995) y armonizará la normativa para todos los Estados miembros de la Unión Europea. Un Reglamento es de aplicación directa en los países y no necesita otra ley nacional que lo desarrolle.
El Reglamento entrará en vigor en mayo de 2018 y supone nuevas obligaciones en el ámbito de la protección de datos para empresas, Administraciones Públicas y otras organizaciones. Una de las novedades más relevantes es la introducción de la figura del Delegado de Protección de Datos (data protection officer). El Reglamento blinda al delegado y lo convierte en la referencia de cada organismo o empresa, que deberá facilitar los recursos precisos para efectuar su trabajo con suficientes garantías y plena estabilidad. Además, los datos de contacto del Delegado han de ser públicos, para que los supervisores y todos los interesados puedan contactar con ella o él de forma confidencial y sin intermediarios.
El Derecho de las Nuevas Tecnologías se va a ver bastante modificado con la nueva norma y la consultoría de protección de datos recibe una alta carga de trabajo, para adecuar las empresas y otras organizaciones a las exigencias que expone el Reglamento. La interpretación de este, sin embargo, no está exenta de problemas. Su nivel de ambigüedad ha provocado, incluso, que se constituya un grupo de trabajo comunitario expresamente para explicar el contenido de las disposiciones y adoptar acuerdos sobre el alcance de cada concepto y precepto.
Aplicación en España
En España, es la Agencia Española de Protección de Datos (en adelante, AEPD) la principal encargada de hacer llegar a los actores interesados la información necesaria para comenzar a adaptarse a la nueva realidad europea, en todo lo relacionado con la protección de datos.
En el contexto español, conlleva la actualización y el complemento de leyes como la LOPD y LSSICE. El Gobierno está inmerso en un proceso de reforma de la Ley Orgánica de Protección de Datos de Carácter Personal, para evitar las contradicciones con el Reglamento, adaptarlo e introducir ciertas modificaciones en la legislación del sector. Por su parte, la AEPD está realizando una necesaria y valiosa labor de interpretación del Reglamento. Esta Agencia va publicando diversas guías, directrices y recomendaciones y haciendo llegar los acuerdos e interpretaciones del denominado Grupo del Artículo 29.
Hasta esta reforma, la normativa española se basó en los llamados «derechos ARCO», acrónimo formado a partir de las palabras Acceso, Rectificación, Cancelación y Oposición, como derechos de los interesados respecto al tratamiento de sus datos de carácter personal Bajo el nuevo Reglamento, los conceptos precisos serán los siguientes: derecho a la Información, acceso, transparencia, supresión o derecho al olvido, rectificación, limitación del tratamiento, oposición y portabilidad de datos.
En definitiva, las empresas y demás organizaciones deben comenzar, ya en 2017, a adaptarse, en todos los ámbitos, a las exigencias que tendrán que cumplir a partir de mayo de 2018. El tratamiento de datos es un campo especialmente delicado. En el contexto de la sociedad de la información y las tecnologías de la comunicación, lo es más.