El próximo 25 de mayo de 2018 será ya de obligado cumplimiento el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo al Tratamiento de Datos Personales (en adelante, “Reglamento Europeo”), que entró en vigor el 25 de mayo de 2016.
Por su parte, el Congreso de los Diputados español está tramitando una nueva Ley Orgánica de Protección de Datos Personales, la cual se prevé que se apruebe y entre en vigor justo antes del 25 de mayo de 2018, y que derogará la actual Ley Orgánica española 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Con este nuevo marco normativo, también se derogarán aquellas disposiciones contenidas en el Real Decreto español 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, que lo contradigan, se opongan, o resulten incompatibles.
Este nuevo marco normativo en materia de protección de datos de carácter personal modifica de manera importante el marco hasta ahora vigente en España (y también en Europa), e introduce un conjunto de nuevas obligaciones que deberán observarse por parte de las Compañías en el tratamiento de los datos personales, a efectos de evitar incurrir en infracciones normativas que pueden llevar aparejadas nuevas e importantísimas sanciones económicas.
En efecto, el Reglamento Europeo diseña un nuevo régimen en materia de infracciones y sanciones, que eleva de manera exponencial las multas económicas que hasta el momento se podían imponer en España.
Así, las infracciones podrán sancionarse con multas de hasta 10.000.000 € (, o de hasta el 2% del volumen de negocio total anual global del ejercicio anterior de la Compañía, si esta cuantía fuese más alta). Y, las más graves, con multas de hasta 20.000.000 euros (o de hasta el 4% del volumen de negocio total anual global del ejercicio anterior de la Compañía, si esta cuantía fuese más alta).
Por todo ello, será necesario que todas las Compañías se adecuen en su funcionamiento a este nuevo marco normativo (incluidas aquellas empresas que ya se adecuaron en su momento al marco normativo hasta ahora vigente).
En relación con las nuevas obligaciones que se introducen, cabe destacar, entre otras, las siguientes:
- Tanto los Responsables como los Encargados del tratamiento deberán realizar un análisis de los riesgos que suponen sus tratamientos de datos para los derechos y libertades de las personas físicas, a efectos de poder determinar las medidas técnicas y organizativas que se consideren más apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
De este modo, el nuevo marco normativo ya no prevé una relación explícita y exhaustiva de medidas de seguridad cuya adopción exima a los Responsables y Encargados del Tratamiento de Responsabilidad, sino que instaura una obligación de adoptar en cada caso particular todas aquellas medidas concretas (sean cuales sean) que resulten necesarias para evitar pérdidas, fugas de información, o accesos no autorizados.
- Los Responsables del tratamiento en los que concurran determinadas circunstancias (como por ejemplo, que traten categorías especiales de datos a gran escala), deberán llevar a cabo un procedimiento de Evaluación de Impacto relativo a la protección de los datos. En función del resultado obtenido en dicha Evaluación, puede resultar necesario tener que hacer una consulta a la Agencia Española de Protección de Datos.
- Tanto Responsables como Encargados del tratamiento deberán llevar un Registro de Actividades del Tratamiento, cuando concurran en ellos unos determinados requisitos. Dicha obligación viene a sustituir el actual deber de los Responsables de inscribir los ficheros en el Registro de la Agencia Española de Protección de Datos.
- Los Responsables del tratamiento deberán notificar determinadas violaciones de datos de carácter personal que se puedan producir, a la Agencia Española de Protección de Datos, en un plazo máximo de 72 horas.
- Los Responsables y Encargados en los que concurran determinadas circunstancias (por ejemplo, cuando sus actividades consistan en operaciones que requieran una observancia habitual y sistemática de los titulares de los datos a gran escala), deberán designar la figura de un Delegado de Protección de Datos.
Esta figura será el interlocutor entre la Compañía y la Agencia Española de Protección de Datos, y su designación deberá notificarse a la propia Agencia.
- Se reconocen nuevos derechos a los titulares de los datos, que se añaden a los actuales derechos de acceso, rectificación, cancelación y oposición (como por ejemplo, el derecho a la supresión -o “derecho al olvido”-, y el derecho a la portabilidad).
- Desaparece la figura del consentimiento tácito por parte del titular de los datos, a efectos de habilitar el tratamiento de determinados datos personales, o de autorizar determinadas cesiones de datos a terceros.
- Se incorpora dentro de la categoría de datos “especiales” o “sensibles” los datos genéticos, y los datos biométricos dirigidos a identificar de manera unívoca a una persona física.
- El deber de información a los titulares de los datos se regula en unos nuevos términos, ampliándose los aspectos que deben ser objeto de información al titular, y ofreciéndose además la posibilidad de proporcionar al titular esta información en dos fases distintas (al menos, en el caso de la nueva regulación española).
- Se regula de manera detallada el tratamiento de datos con fines de vigilancia.
- Se amplían considerablemente las previsiones y cláusulas que deben recogerse en los Contratos de Encargo de Tratamiento y prestación de servicios, para evitar que los accesos a datos personales por cuenta de terceros se consideren como una cesión inconsentida de datos personales.
Todas las Compañías deberán extremar las precauciones para adecuar su funcionamiento y operativa a este nuevo marco normativo en materia de protección de datos personales, antes de su entrada en vigor, prevista para el 25/5/2018.
Lecturas: 2.295