Nuevo Reglamento Europeo de Protección de Datos
El Reglamento Europeo de Protección de Datos entró en vigor el 25 de Mayo de 2016, y será de obligado cumplimiento a partir del 25 de Mayo de 2018. Ya ha comenzado la cuenta atrás para que todas las empresas, tanto grandes como pequeñas, se adapten a las nuevas exigencias que contempla el texto europeo. Hasta entonces, seguirá en vigor la actual normativa en materia de protección de datos.
En este tiempo se pueden ir implementando algunas de las medidas no contradictorias con la legislación actual, y así llegar más preparados a la fecha en la que serán obligatorias.
Tales requerimientos hacen hincapié, de manera incontestable, en la necesidad de protección de los datos de carácter personal que obran en poder de sociedades y entes públicos. En esta línea, entre las nuevas previsiones normativas, destaca la obligación por parte de las empresas de proporcionar una mayor información al ciudadano respecto al tratamiento que se va a efectuar de sus datos de carácter personal, así como la manera de proporcionar dicha información. El nuevo texto introduce un cambio de capital relevancia en relación con la regulación anterior, pues desaparece el consentimiento tácito, por lo que, a partir de ahora, el permiso para el tratamiento de dichos datos deberá responder a un consentimiento expreso.
Otra de las novedades que incorporará el Reglamento es la ampliación del ámbito territorial, ya que se aplicará también a empresas y entidades que se encuentran fuera de la Unión Europea, cuando realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento. Se consigue así una mayor protección para los ciudadanos europeos, especialmente en lo que se refiere a la prestación de servicios a través de internet, que se produce frecuentemente fuera del territorio de la Unión.
Por otro lado, cabe destacar la introducción de nuevos derechos, entre los que sobresale el derecho al olvido, que legitima a solicitar la cancelación de datos en Internet para aquellos supuestos en los que la información relativa a los mismos no responda a las exigencias y requisitos contemplados en el Reglamento General de Protección de Datos (RGPD), y el derecho a la portabilidad, que supone que tenemos derecho a solicitar al responsable del tratamiento de nuestros datos que nos los envíe en un formato en el que podamos transmitirlos a otro responsable de tratamiento.
Asimismo, se recoge la posibilidad de que el ciudadano lleve a cabo acciones encaminadas a bloquear de manera temporal el tratamiento de sus datos de carácter personal, cuando exista algún tipo de duda respecto a la licitud del tratamiento efectuado; consecuentemente, ello implica una limitación en el tratamiento de los datos.
En cuanto a los avisos de privacidad, es conveniente que las empresas vayan revisándolos, ya que el Reglamento prevé la obligación de incluir avisos que hasta ahora no lo eran, tales como la base legal para el tratamiento de los datos o los periodos de retención de los mismos. Además, se establece que toda la información debe proporcionarse de forma fácil de entender y en un lenguaje claro y conciso.
Como hemos indicado anteriormente, uno de los puntos claves del Reglamento se refiere al consentimiento. En este sentido, se prohíbe recoger más datos de los que sean realmente necesarios para prestar el servicio de que se trate. Y además, se exige que exista un consentimiento libre, informado, específico e inequívoco que requiere una acción positiva del interesado, por lo que no será válido el consentimiento tácito de la misma forma en que se venía entendiendo hasta la fecha, es decir, el que se entendía prestado a partir de una situación de silencio o inacción.
Otras novedades que incorpora el Reglamento son las siguientes:
Las personas jurídicas y los encargados de tratamiento que traten datos de carácter personal tendrán obligación de llevar un registro de las actividades de tratamiento que efectúen.
Se establece la obligación de realizar evaluaciones de impacto antes de realizar determinados tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas, mediante una consulta previa a la “Autoridad de Control”, que es el organismo del que cada Estado miembro de la Unión Europea deberá disponer para regular, supervisar y vigilar el tratamiento de datos de carácter personal. A modo de ejemplo, la evaluación de impacto deberá realizarse en los casos de tratamiento a gran escala de datos personales que revelen opiniones políticas o datos relativos a la salud o la orientación sexual de una persona física.
Dentro de las empresas, serán concretamente los responsables y encargados del tratamiento los que deberán adoptar todas aquellas medidas destinadas a garantizar que lo expuesto anteriormente se lleve a cabo con la mayor diligencia. Serán también los responsables de adoptar todas aquellas medidas técnicas y organizativas destinadas a que la confidencialidad de los datos sea efectiva.
Las empresas deberán designar un “Delegado de Protección de Datos” si en ellas concurren determinadas circunstancias. La figura del “Delegado de Protección de Datos” (“DPO”=Data Protection Officer), cumple una función primordial, puesto que se le asignan, entre otros, deberes de información, asesoramiento, supervisión del cumplimiento normativo, concienciación y formación del personal que participa en las operaciones de tratamiento de carácter personal y de cooperación con la Agencia Española de Protección de Datos. El “DPO” se configura, a su vez, como un medio para la resolución amistosa de reclamaciones y, tal y como ha advertido la Agencia Española de Protección de Datos, esta función no podrá ser encomendada ni al director de seguridad de la información ni tampoco al director general o ejecutivo, todo ello en aras a garantizar y dar cumplimiento al principio de transparencia recogido en el RGPD.
Cabe destacar, por otra parte, la nueva posibilidad que se confiere a los ciudadanos de exigir indemnizaciones derivadas de los daños y perjuicios causados, cuando resulten afectados por un tratamiento ilícito de sus datos de carácter personal.
Por último, debe hacerse referencia a las sanciones económicas contempladas en el RGPD, puesto que, de un inadecuado tratamiento de datos, podrían derivarse penalizaciones que ascienden a un máximo de 20.000.000 de euros, o 4% como máximo del volumen de negocio anual global del ejercicio financiero anterior.
