El 25 de mayo de 2018, el RGPD, (Reglamento General de Protección de Datos), será de obligado cumplimiento y de aplicación directa en los Estados Miembro de la Unión Europea. Se introducen novedades, entre otras, sobre la regulación de los derechos, obligaciones de los responsables del tratamiento o el consentimiento.
La evolución tecnológica, la globalización o la promoción de la economía digital, implica un cambio en la normativa de protección de datos, encaminada a proteger el intercambio y recogida de datos, tanto en el sector público como en el privado, cambio que, en la Unión Europea (UE), ya lidera el Reglamento General de Protección de Datos (RGPD).
El nuevo RGPD, relativo a la protección del tratamiento de datos personales y a la libre circulación de éstos, entró en vigor el 25 de mayo de 2016, siendo de obligado cumplimiento a partir de los dos años desde su publicación en el Diario Oficial de la Unión Europea, esto es, el próximo 25 de mayo de 2018.
En dicha fecha, será de aplicación directa para todos los Estados Miembro de la Unión Europea, pero también más allá. RGPD amplía el ámbito de aplicación al espacio geográfico de la UE, dado que es aplicable independientemente de que un tratamiento de datos personales tenga lugar en la Unión o no, o incluso si el tratamiento de datos personales de los interesados (que residen en la UE) se lleva a cabo por parte de responsables o encargados no establecidos en la Unión.
Las novedades más importantes que regula el RGPD están relacionadas con la regulación de los derechos de los interesados, las obligaciones de los responsables y encargados de los datos personales, la transferencia de estos datos personales a terceros países u organizaciones internacionales o la implantación de sanciones más severas contra los responsables o encargados del tratamiento que infrinjan normas relacionadas con la protección de datos.
Principales cambios
Como hemos anticipado, las compañías españolas cuentan, en principio, con dos años para implementar las novedades del RGPD, pero, ¿cómo les va a afectar estos nuevos cambios?
En primer lugar, las compañías tendrán que respetar los principios de transparencia, minimización de datos y responsabilidad proactiva, para conseguir una mayor licitud y lealtad en los tratamientos de los datos personales.
Como hemos señalado, el RGPD regula los derechos de los interesados, como por ejemplo, derechos de rectificación y supresión. Deben tener en cuenta la introducción de nuevos derechos, como el derecho al olvido (el responsable tendrá que suprimir los datos personales en relación con el interesado cuando éste lo pida) y el derecho a la portabilidad de datos de un prestador de servicios a otro. Además, respecto a las obligaciones generales de los responsables y los encargados del tratamiento, el Reglamento fundamenta estas obligaciones sobre el concepto de “rendición de cuentas” o “Accountability”, es decir, no aparece responsabilidad sólo en caso de infracción, sino que existe la necesidad de aplicar medidas de seguridad adecuadas en función del riesgo derivado de las operaciones de tratamiento de datos.
Otro de los objetivos de la norma es confirmar la obligación para los Estados miembros de crear una autoridad de control independiente a nivel nacional e introducir el principio de “ventanilla única” o “One stop shop”, que se refiere a la adopción de una única decisión de supervisión en los casos transfronterizos en los que se vean implicadas varias autoridades.
Además, las compañías deberán prestar especial atención al refuerzo del consentimiento que hace la norma. El Reglamento establece que no se permite un consentimiento tácito (se añade el requisito de un consentimiento claro de la persona respecto del tratamiento de sus datos personales) y además este consentimiento puede ser revocable en cualquier momento.
También cobra mayor importancia el delegado de protección de datos o “data protection officer”, que se convierte en una figura esencial, encargado de asegurar el cumplimiento de la norma.
En conclusión, la nueva norma va a cambiar el panorama de las compañías en cuanto a la regulación de la protección de datos. Las compañías deben respetar los principios y derechos de los interesados que introduce la nueva norma, así como tener en cuenta las obligaciones generales de los responsables y encargados del tratamiento asentadas sobre el concepto de “Accountability”. Deberán atender al refuerzo del consentimiento y la mayor importancia a la figura del delegado de protección de datos.
Arantza León, asesor legal de Deyde