El Parlamento Europeo aprobó el pasado 14 de abril el Reglamento General de Protección de Datos (RGPD). Su entrada en vigor no se efectuará hasta el año 2018, por tanto, los países miembros disponen de un plazo de dos años para trasladar los cambios de la directiva a la legislación nacional.
La reforma pretende devolver a los ciudadanos el control de sus datos personales y garantizar en toda la UE unos estándares de protección elevados y adaptados al entorno digital.
El nuevo reglamento presenta muchos cambios, y de entre los más significativos destacamos:
-
Análisis de riesgos y evaluación de su impacto
En los casos en que el tratamiento de los datos implique un alto riesgo para los derechos y libertades de las personas, el responsable del tratamiento deberá realizar una evaluación de su impacto que valore: el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo para con los datos. El resultado de la evaluación se tendrá en cuenta para decidir las medidas adecuadas que deban tomarse para demostrar que dicho tratamiento es acorde con el Reglamento.
-
La figura, obligatoria, del Delegado de Protección de Datos
El Reglamento Europeo ha introducido la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés), imponiendo la obligatoriedad del nombramiento de un DPO a todos los organismos públicos y a las entidades privadas, sean éstas consideradas responsables o encargados del tratamiento, cuyas actividades principales conlleven la “observación habitual y sistemática de interesados a gran escala” o el “tratamiento a gran escala de categorías especiales de datos”.
-
Inclusión de los conceptos de datos genéticos y datos biométricos
Quedan definidos en el reglamento los términos de dato genético y dato biométrico. Serán considerados en adelante como datos especialmente sensibles (al mismo nivel que los datos de salud, afiliación sindical, vida sexual, religión y política).
-
Derecho a la portabilidad de datos
Siguiendo la línea de los derechos A.R.C.O, aparece el derecho a la portabilidad de datos que consiste en la transferencia de los datos, de ficheros o tratamientos automatizados, de responsable de tratamiento al nuevo responsable de tratamiento, es decir, de proveedor a proveedor-nuevo.
-
Derecho al olvido
Este derecho cuenta con la particularidad de que si el interesado dio su consentimiento para el tratamiento de sus datos siendo niño, se considera que no era plenamente consciente de los riesgos que ello implica, y por lo tanto más tarde puede suprimir tales datos personales, especialmente en internet.
-
Sanciones de hasta 20 millones de euros o el 4% de su facturación global (optándose por la mayor cuantía)
-
Colaboración de las autoridades de protección de datos nacionales
Habrá un registro único de personas y empresas, a través del cual, por ejemplo, las empresas españolas con sedes en otros Estados Miembros, podrán tratar con la AEPD o con la del Estado Miembro donde se encuentre su sede central.
-
Notificaciones de las violaciones de seguridad
En caso de violación de la seguridad de los datos personales (por ejemplo, si los datos son pirateados), el responsable del tratamiento la notificará a la autoridad competente lo antes posible y sin sobrepasar las 72 horas después de que haya tenido constancia de ella, a menos que no sea probable que dicha violación suponga un riesgo para los derechos y las libertades de la persona afectada.
-
Responsabilidad proactiva de la empresas
En adelante el responsable del tratamiento tendrá que ser capaz de demostrar que es responsable del cumplimiento de la protección de datos y su legislación correspondiente.
-
Lenguaje claro y comprensible para dirigirse a la persona afectada
Las cláusulas de información, las políticas de privacidad o los términos y condiciones donde se expresan informaciones relativas al tratamiento de los datos personales, ya no podrán ser (antes tampoco) difícilmente legibles, sino que deberán expresarse de forma sencilla y adecuada a los niveles de los ciudadanos.
Aunque España contempla una de las normativas más robustas y duras respecto de la protección de datos personales, parece que el RGPD se va a asemejar más a nuestro modelo, que a otras normativas europeas más laxas, por lo que continuar con el asesoramiento especializado en esta materia para evolucionar el sistema clásico de la LOPD a las novedades del RGDP será una decisión fundamental en las empresas, para no ver cortada su trayectoria en la implantación de la LOPD y continuar con las buenas prácticas establecidas hasta el momento, variando en aquellos puntos en los que el RGPD imponga sus novedades, nuevos protocolos de actuación y nuevas medidas de seguridad a establecer.
Puede consultar el texto definitivo aprobado y en castellano, aquí.