Reglamento europeo de protección de datos: Cuenta atrás para su aplicación en España

Escrito por | Mercantil

15/02/2018

El 25 de mayo del año en curso es la fecha señalada para que el nuevo Reglamento Europeo de protección de datos resulte de aplicación directa en todos los Estados Miembros de la Unión Europea (Reglamento (UE) 2016/679 (UE) del Parlamento Europeo y del Consejo de 27 de abril de 2016).


Los objetivos del Reglamento translucen en sus Considerandos, siendo el motor principal de la norma regular y armonizar la legislación en materia de protección de datos a nivel comunitario con el fin de garantizar los derechos y libertades de los ciudadanos en este ámbito. Además de este motivo unificador, el Reglamento introduce distintas novedades que pueden resumirse brevemente en los siguientes puntos:



(i) El principio de responsabilidad proactiva o “accountability. La responsabilidad proactiva de las organizaciones se basa en su prevención para el tratamiento de datos. De esta suerte, las compañías que traten datos personales deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece.


(ii) Análisis de riesgos previo al tratamiento y, en su caso, Evaluación de Impacto de Protección de Datos (EIPD). Con la información de la entidad que se recoja con carácter previo, se elaborará un informe de riesgos personalizado. El informe permitirá determinar las medidas técnicas y organizativas que deban incorporarse con el objeto de adaptar la actividad profesional a la normativa de protección de datos.


En relación con lo anterior, y en el supuesto que el tratamiento de datos entrañe un alto riesgo para los derechos y libertades de las personas físicas, cabrá llevar a cabo una Evaluación de Impacto de Protección de Datos (EIPD).


(iii) Desaparece la obligación de inscribir ficheros en la Agencia Española de Protección de Datos (AEPD). En principio, desaparece esta obligación, que vendrá a ser sustituida por la confección de un registro de actividades de tratamiento por cada entidad. En este registro se deberá indicar, entre otros aspectos, el nombre y datos de contacto del responsable, los fines de tratamiento o, en su caso, los posibles destinatarios de los datos personales.

Decimos en principio porque sigue siendo objeto de debate por parte de la AEPD el mantenimiento de este registro de ficheros, a pesar que el nuevo Reglamento no lo recoja expresamente. Por tanto, cabrá estar atento a las novedades que puedan aparecer en este sentido.


(iv) Deber de informar y los derechos de los titulares de los datos. La información facilitada al interesado para el tratamiento de sus datos (por ejemplo, un cliente) debe ser clara, sencilla, inteligible y de fácil acceso.

Por otra parte, el interesado goza de nuevos derechos con respecto a la legislación anterior. En particular, le asisten los siguientes derechos: acceso, rectificación, supresión, limitación al tratamiento, portabilidad de los datos y oposición al tratamiento.


(v) Se refuerza la exigencia del consentimiento. La novedad más importante que introduce el Reglamento en este aspecto es la desaparición del consentimiento tácito. Es decir, la solicitud del consentimiento al interesado para tratar sus datos personales debe presentarse de tal forma que le permita manifestar expresamente su aceptación.


(vi) Informar sobre las “brechas” de seguridad. El Reglamento articula la obligación de notificar a la autoridad de control una brecha de seguridad (violación de la seguridad de los datos personales) cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas. Esta actuación debe realizarse dentro de las primeras 72 horas desde que acontece.



(vii) El Delegado de Protección de Datos. Para explicar brevemente la figura del DPO destacamos tres extremos de interés: (a) No todas las entidades que tratan datos personales están obligadas a designar un DPO: Únicamente deberá nombrarse en caso de que concurra alguna de las circunstancias previstas en el artículo 37 del RGPD. (b) La figura del DPO puede ser interna o externa: Cabe la posibilidad de contratar un profesional externo que desempeñe las funciones de DPO. En la práctica éste será el supuesto más habitual puesto que, como se verá en el punto siguiente, el DPO debe reunir una serie de características técnicas y jurídicas. (c) Aptitudes profesionales del DPO: El DPO será designado atendiendo a sus cualidades profesionales y a sus conocimientos del Derecho y la práctica en materia de protección de datos.


Es de ver, por tanto, como el Reglamento europeo introduce una serie de novedades para todas aquellas entidades que traten datos de carácter personal.


Además, no debe olvidarse que en España la adaptación al Reglamento requiere la elaboración de una nueva ley orgánica de protección de datos que sustituya a la actual. En este sentido, el Gobierno ha impulsado el proyecto de nueva ley orgánica que actualmente se encuentra en sede de tramitación parlamentaria.


En conclusión, frente a este escenario, podemos afirmar que se avecinan meses de intenso trabajo en el campo de la protección de datos. Como se ha apuntado al comienzo de esta reseña, el 25 de mayo de 2018 es la fecha en que este nuevo marco normativo resultará de aplicación efectiva en España y en el resto de países de la UE.



Escrito por:

< Volver a Noticias

Este sitio web utiliza cookies propias y de terceros para recopilar información estadística sobre tus hábitos de navegación y poder así mejorar y personalizar tu experiencia ofreciéndote contenidos de tu interés. Si sigues navegando, consideramos que aceptas su instalación y uso. Puedes obtener más información en la política de cookiesX