El pasado 25 de mayo de 2016 entró en vigor el nuevo REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Dicho Reglamento comenzará a aplicarse el 25 de mayo de 2018, por que las empresas y organismos disponen de dos años para adaptarse a sus novedades, estando previsto para el primer trimestre de 2017 que se presente el anteproyecto legal para la reforma de la actual Ley Orgánica de Protección de Datos (LOPD).
Las principales novedades a tener en cuenta del Reglamento son:
Ámbito de aplicación.
Este Reglamento se aplica a los responsables o encargados de datos establecidos en la Unión europea, e igualmente a aquellos que, no estando establecidos en la Unión Europea realicen una oferta de bienes o servicios a interesados que residan en la UE.
Consentimiento
Las condiciones para la prestación del consentimiento por parte del interesado se ven reforzadas. Así, el responsable debe ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales. No puede deducirse del silencio o la inacción del interesado. La solicitud de consentimiento deberá ser inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo.
Nuevos derechos
Igualmente se introduce el Derecho de supresión («el derecho al olvido»), por el cual el interesado tiene derecho a la supresión de sus datos en determinadas circunstancias, tales como que los datos personales ya no sean necesarios para los fines que fueron recogidos, se haya retirado el consentimiento, o hayan sido tratados ilícitamente.
O el derecho a la portabilidad, que supone que el interesado que ha proporcionado sus datos pueda solicitar del responsable que los está tratando automatizadamente, recuperarlos en un formato que le permita trasladarlos a otro responsable.
Información a facilitar
Las empresas deberán facilitar al interesado información adicional a la que actualmente se contempla en la Ley de protección de datos 15/1999 y Reglamento 1720/2007, por lo que deberán revisar sus protocolos de actuación, avisos de privacidad, etc. Así, por ejemplo, en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional, el plazo durante el cual se conservarán los datos o el derecho a presentar una reclamación ante una autoridad de control, etc.
Medidas a tomar por la empresa
Aspecto primordial del nuevo Reglamento es la toma de medidas preventivas por parte de las empresas que tratan datos. Así, hay que tener en cuenta las siguientes medidas a tomar por la empresa:
- Protección de datos desde el diseño y por defecto.
La protección de datos desde el diseño supone que teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas (como la seudonimización).
La protección de datos por defecto supone que el responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.
- Registro de las actividades.
Cada responsable debe llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, y cada encargado un registro de todas las categorías de actividades de tratamiento efectuadas.
No obstante, estas obligaciones no se aplican a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales.
- Medidas de seguridad
Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
Importante es que la adhesión a un código de conducta o a un mecanismo de certificación puede servir de elemento para demostrar el cumplimiento de estos requisitos.
- Evaluaciones de impacto
Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.
- Delegado de protección de datos.
Deberá nombrarse un delegado de protección de datos siempre que las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales
- Notificación de violaciones
En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control a más tardar 72 horas después de que haya tenido constancia de ella.
- Códigos de conducta y certificaciones.
Los Estados miembros deben promover la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del Reglamento, así como la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el Reglamento.
Sanciones
Se podrán imponer multas administrativas de hasta 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.