Todo lo que debes saber sobre el nuevo Reglamento Europeo de Protección de Datos

Por si no teníamos suficiente con las distintas normativas sobre protección de datos (LOPD) a las que nos hemos tenido que ir adaptando, el pasado 25 de mayo entró en vigor el nuevo Reglamento (UE) del Parlamento Europeo y del Consejo de 27 de abril de 2016 referente a la protección de las personas físicas en lo concerniente al tratamiento de datos personales y a la libre circulación de datos.

Este Reglamento deroga la anterior Directiva de 1995 por haber quedado obsoleta y tiene como novedad que dará un mayor grado de control a la ciudadanía sobre su información privada e impondrá cambios radicales para las empresas que van a tener que adaptar sus protocolos y estructuras.

¿Qué ámbito de aplicación tendrá?

El Reglamento amplía su ámbito de aplicación territorial. Será de obligatorio cumplimiento a empresas responsables o encargadas del tratamiento de datos aunque no estén establecidas en la Unión Europea cuando ofrezcan bienes o servicios a ciudadanos que sí sean residentes.

¿Qué es el consentimiento del interesado y cómo debe recogerse?

Para que podamos recoger y tratar sus datos personales, será imprescindible contar con el consentimiento de la persona física mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca de aceptar el tratamiento de datos –por ejemplo mediante declaración por escrito, marcando una casilla en un sitio web o con una declaración verbal-. No estará permitido el llamado consentimiento tácito –el silencio, la existencia de casillas ya marcadas o la inacción no constituyen un consentimiento-. Asimismo, el responsable del tratamiento de datos debe ser capaz de demostrar que el interesado prestó de forma clara su consentimiento.

¿En qué consiste la figura del Delegado de Protección de Datos?

En algunas ocasiones se impondrá la designación de un Delegado que deberá supervisar, informar y asesorar sobre el cumplimiento de la normativa. Este Delegado deberá estar cualificado y disponer de los recursos necesarios no pudiendo ser destituido ni sancionado por el hecho de cumplir con la normativa. Será la empresa quien deba encontrar a la persona más idónea para cumplir con el citado cometido.

¿Seguirá siendo la Agencia Española de Protección de Datos la autoridad en España?

Para las empresas establecidas o con influencia en varias jurisdicciones, la autoridad en materia de protección de datos será la de su establecimiento principal (en España, efectivamente, la AEPD) que actuará como única interlocutora y cooperará con el resto de autoridades interesadas. Una buena noticia es que desaparecerá la obligatoriedad para las empresas de inscribir sus ficheros, reduciéndose así la burocracia.

¿Qué es el derecho al olvido?

Se recoge en la norma expresamente la posibilidad de que se ejerza el derecho al olvido –reconocido por la jurisprudencia del Tribunal de Justicia de la Unión Europea-. Los ciudadanos/as podrán solicitar a las empresas la supresión de sus datos personales cuando estos ya no sean pertinentes para la finalidad que fueron recogidos, se retire expresamente el consentimiento o se hayan tratado de forma ilícita.

¿Qué hacer ante una vulneración de la seguridad?

Las empresas deberán notificar ante la autoridad de protección de datos cualquier vulneración de la seguridad en un plazo máximo de 72 horas siempre que constituya un riesgo para los derechos y libertades de los ciudadanos/as. También deberá comunicarse a las personas afectadas.

¿Se podrán exportar datos a terceros países?

No será necesaria la autorización previa para exportar datos a terceros países u organizaciones internacionales si se llevan a cabo mediante cláusulas tipo aprobadas por la Comisión Europea. Este tráfico no podrá en ningún caso implicar un perjuicio en el nivel de protección.

¿Qué es el Consejo Europeo de Protección de Datos?

La norma establece la creación de un Consejo Europeo de Protección de Datos, formado por representantes de las 28 autoridades de control independientes que tendrá capacidad de aprobar decisiones jurídicamente vinculantes.

¿Qué responsabilidad se exige a las entidades?

Las entidades que traten datos deberán acreditar que los mismos han sido:
 Tratados de manera lícita, leal y transparente
 Recogidos con arreglo a fines determinados, explícitos y legítimos
 Recopilados de forma adecuada, pertinente y limitada a lo estrictamente necesario
 Actualizados, en caso de ser necesario
 Mantenidos durante el tiempo preciso
Tramitados de tal forma que garantice su seguridad

¿Habrá sanciones?

Efectivamente, se prevé la imposición de sanciones administrativas desde las autoridades de protección nacionales -en España la AEPD- cuyo importe puede llegar a alcanzar los 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior (en el caso de infracciones muy graves) En la norma se incluye un régimen sancionador completo.

¿Cuándo entra en vigor?

Aunque el Reglamento entró en vigor el pasado 25 de mayo, su cumplimiento –afortunadamente- no será exigible hasta el 25 de mayo de 2018 por lo que se mantienen vigentes las normativas actualmente en vigor (LOPD). Por otro lado, se aconseja que los Estados, Instituciones Europeas y Organizaciones vayan llevando a cabo las actuaciones necesarias para adaptarse al nuevo marco normativo.

▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪▪
¿Necesitas más información?

Seguro que también te interesa...