Reglamento General Europeo de Protección de Datos

Síntesis de las implicaciones del Reglamento General de Protección de Datos

El 25 de mayo de 2018 entrará en vigor y será exigible el cumplimiento del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
Dicho Reglamento General de Protección de Datos, comporta nuevos retos y nuevas reglas de juego para todos los operadores (empresas y administraciones públicas) y para los ciudadanos.
El incesante desarrollo tecnológico en un entorno sin duda globalizado, ha comportado un incremento exponencial en la captación, tratamiento e intercambio de datos personales, lo que ha generado entre los ciudadanos una sensación de pérdida de la privacidad. Éste es uno de los principales motivos por el que, sin abandonar los principios, totalmente válidos, que en materia de protección de datos ya preveía la Directiva 95/46/CE, hoy derogada, se ha considerado necesario revisar el marco legal actual y establecer un nuevo marco jurídico que otorgue, por un lado, una mayor confianza y seguridad jurídica a los ciudadanos, sin dejar de tener en cuenta y proteger, también, la libre circulación de datos entre los Estados miembros.
A través del nuevo Reglamento se pretende, por tanto, armonizar las legislaciones nacionales, a través de un marco jurídico de aplicación directa, como es el Reglamento, que podrá ser aplicado y podrá ser invocado por los operadores y por los ciudadanos ante los Tribunales de cualquier Estado miembro. Esta nueva norma comporta el desplazamiento de la LOPD, que quedará sin efecto, a través de una Ley europea que regula el derecho fundamental del “habeas data”.
En síntesis, y como novedades más importantes, que habrá que tener muy en cuenta:

Con respecto a los derechos de los afectados

• El consentimiento para la captación y tratamiento de los datos personales debe ser inequívoco. Esto es, la expresión del consentimiento otorgado debe realizarse mediante una manifestación o acción afirmativa, asumiendo el responsable del tratamiento la correspondiente carga de la prueba.
• Se refuerza el derecho de información, exigiéndose una mayor claridad y transparencia por parte del responsable del fichero. Ello, y la configuración, como veremos, de nuevos derechos a favor de los afectados, supondrá que las cláusulas informadoras que utilicen los operadores para obtener y acreditar el “consentimiento informado” deberán ser ampliadas, más claras y más rigurosas.
• Se establecen y regulan de forma específica “nuevos” derechos, como el “derecho al olvido” y el “derecho a la portabilidad” de los datos de un prestador de servicios a otro; y el “derecho a oponerse al establecimiento de perfiles”.
• La edad mínima para la captación y tratamiento de datos personales de menores, se deja a la regulación de cada Estado miembro, si bien ésta no podrá ser inferior a los 13 años.
• La adopción de medidas preventivas (Compliance)
• Se establecen de manera específica las concretas obligaciones de los responsables del tratamiento y de quienes tratan datos personales en su nombre esto es, de los “Encargados del tratamiento”.
• Éstos deberán adoptar políticas preventivas, procedimientos y medidas de control a fin de asegurar y poder demostrar que el tratamiento de los datos se ha llevado a cabo conforme al Reglamento.
• Se incluye la obligación de que los responsables y encargados de tratamiento lleven a cabo una evaluación de impacto de la protección de datos antes de realizar operaciones de tratamiento sensibles (“Risk assessment”)
• Se regulan obligaciones referidas a documentar y conservar por parte de los responsables y encargados de tratamiento, acerca de las operaciones de tratamiento que lleven a cabo y estén bajo su responsabilidad.
• Se establece la obligación de informar a la autoridad de control de las violaciones de los datos personales que puedan producirse.
• Nombramiento de un “Data Protection Officer” (DPO), figura ésta requerida, en los tratamientos realizados por las Administraciones públicas, y para aquellas empresas (responsables del tratamiento) que cuenten con más de 250 trabajadores.
• Por otro lado, y en términos de Compliance, el nuevo Reglamento exige la máxima diligencia a la hora de escoger a los proveedores (Encargados del Tratamiento) que gestionarán y tratarán datos personales por cuenta del Responsable del Tratamiento.
• Códigos de Conducta y Certificaciones
• Como novedad, se prevé la creación de organismos de certificación en materia de protección de datos, que permitan acreditar el cumplimiento de la regulación en materia de protección de datos.
• Reclamaciones e indemnización
• Se establece de forma específica el derecho a presentar una reclamación ante cualquier autoridad de control de cualquier Estado miembro, y el derecho a un recurso judicial, en el caso de que la autoridad de control no resuelva en plazo.
• Se incrementan las sanciones y se prevé expresamente el derecho a obtener una indemnización por parte de los interesados.
• Transferencia a otros países
• Se encomienda a la Comisión la evaluación del nivel de impacto que supone la transferencia y tratamiento de los datos personales a terceros países, fuera del entorno de la UE. En caso de que la Comisión no se hubiere pronunciado al respecto, el Responsable y/o el Encargado del Tratamiento deberán aportar garantías de que dicha transferencia y tratamiento proyectado cuenta con el nivel de protección requerido (cláusula tipo, etc.).
• Refuerzo de la posición de las Autoridades
• Se amplían y armonizan sus poderes (potestad sancionadora generalizada), y se establecen mecanismos de cooperación y coordinación, entre ellas, cuyo máximo exponente se sitúa en la figura del nuevo Consejo Europeo de Protección de Datos (heredero del actual Grupo de Trabajo del art. 29)- ventanilla única.
• El Reglamento extiende su ámbito de aplicación más allá de a los operadores establecidos en la UE; a aquellos otros que, sin estarlo, tratan datos en el marco de ofertas de bienes o servicios específicamente dirigidos a ellos, o de actividades de seguimiento de conducta.