El nuevo reglamento de protección de datos de carácter personal

Desde 2012 se venía hablando de cambiar la legislación relativa a la protección de datos de carácter personal para adaptarla a la globalización y resto de nuevas características de circulación de los datos de carácter personal debidas principalmente al auge de las nuevas tecnologías de la información y de la comunicación.

Ya en diciembre de 2015, el Consejo y el Parlamento Europeo alcanzaron un acuerdo sobre el proyecto de Reglamento de Protección de Datos de Carácter Personal, que fue adoptado en primera lectura por el Consejo el 8 de abril y por el Parlamento Europeo el 14 de abril de 2016. El texto del reglamento 2016/679 fue finalmente publicado el 27 de abril.

Este nuevo reglamento 2016/679 ha entrado en vigor el pasado 25 de mayo de 2016, pero la obligatoriedad de su aplicación tendrá lugar 2 años después, es decir, a partir del 25 de mayo de 2018. Durante ese periodo, los usuarios de datos de carácter personal se irán adaptando a la nueva norma, y las instituciones de los países de la UE promulgarán normas nacionales acordes a las del documento europeo.

Las novedades que resumimos a continuación son variadas y se centran en una mayor protección de los datos de carácter personal y, en definitiva, de los derechos a la privacidad de los ciudadanos europeos.

  • A partir del nuevo Reglamento de Protección de Datos de Carácter Personal, no sólo estarán obligadas las empresas europeas, sino también las empresas que traten datos de europeos, con independencia del país desde el que operen.
  • El ciudadano europeo verá ampliados sus derechos actuales (ARCO: acceso, rectificación, cancelación y oposición) con los nuevos derechos de portabilidad, cuando se produzca un cambio de proveedor de servicios que necesite los mismos o similares datos, y derecho al olvido, cuando acabe la finalidad para la que fueron recabados los datos.
  • El derecho al olvido incluye la posibilidad de solicitar el bloqueo de los datos personales del interesado en las listas de resultados de buscadores de información en internet, por distintos motivos, como datos obsoletos, irrelevantes, falsos, etc.
  • Además, desaparece el consentimiento tácito al uso de los datos de carácter personal y el titular de dichos datos deberá consentir de forma expresa al uso de los mismos y que dicho consentimiento pueda ser corroborado por terceros (evidencia de auditoría).

Pero no solamente los puntos puestos en relieve hasta aquí incrementarán la responsabilidad en el tratamiento de los datos. El tratamiento recibe un nuevo enfoque preventivo que no existía hasta ahora. El objetivo es evitar el daño que pueda producir el mal uso, al tratarse de un daño muy difícil de reparar, por lo que propone, entre otras, la obligación de la protección de los datos desde el diseño y por defecto, como un cambio de enfoque significativo en la relevancia otorgada hasta ahora al tratamiento de datos de carácter personal.

El nuevo reglamento también afecta a las medidas de seguridad, la llevanza de un registro de tratamientos, en determinados casos la realización de evaluaciones de impacto de la protección del tratamiento, la incorporación del nombramiento del delegado de protección de datos, la obligatoriedad de la notificación de las violaciones  de seguridad y la promoción de códigos de conducta y esquemas de certificación.

Si bien el reglamento acaba de ser aprobado y la obligatoriedad de su cumplimiento parece lejana, los cambios introducidos son sustantivos y obligan a las empresas a revisar completamente su política respecto de esta materia. Por último, pero no menos significativo, también cambia el régimen de sanciones, que ahora incluye la responsabilidad penal.

Se hace indispensable que las autoridades se esfuercen en realizar las adaptaciones pertinentes en cada estado miembro para facilitar la tarea de adaptación y simplificarla en el menor tiempo posible. El hecho de que, por el momento sólo exista la normativa europea y las autoridades competentes no hayan producido hasta la fecha material de ayuda a la adaptación, dificulta el que las empresas comiencen a trabajar en esta dirección, por las incertidumbres que ello supone.

El texto completo del nuevo reglamento puede leerse en el siguiente enlace, en la página de la Agencia Española de Protección de datos: AQUÍ

Luis Fernández de Heredia
Director TIC