Importantes novedades en el nuevo reglamento general de protección de datos

El 25 de mayo de 2016 entr√≥ en vigor el nuevo Reglamento General de Protecci√≥n de Datos[1](‚ÄúRGPD‚ÄĚ, en adelante), cuyo objetivo principal es garantizar una aplicaci√≥n uniforme y coherente del derecho de protecci√≥n de datos en toda la Uni√≥n Europea dotando del m√°ximo grado de armonizaci√≥n a esta regulaci√≥n. Aun cuando es una norma de aplicaci√≥n directa, actualmente se est√° trabajando con la redacci√≥n de una nueva ley org√°nica de protecci√≥n de datos, cuya aprobaci√≥n est√° prevista para mayo de 2018, y por el momento se desconoce el contenido del Anteproyecto.  

El Reglamento ha entrado ya en vigor, pero no comenzará a aplicarse hasta el 25 de mayo de 2018, dándose así un período transitorio en el que los responsables y encargados del tratamiento deberán ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del Reglamento en el momento en que sea de aplicación.

El RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones para los responsables y encargados del tratamiento. Entre las principales novedades destacan las siguientes:

  • Medidas de seguridad: el RGPD establece un cat√°logo de las medidas que los responsables, y en ocasiones los encargados, deben adoptar para garantizar que los tratamientos sean conformes al Reglamento. Algunos ejemplos de medidas de responsabilidad activa son el mantenimiento de un registro de las actividades de tratamiento o la designaci√≥n de un Delegado de Protecci√≥n de Datos, entre otras. No obstante, el RGPD ya no dice qu√© medidas deben aplicarse seg√ļn los niveles de seguridad (b√°sico, medio y alto), sino que ahora ser√°n los propios responsables y encargados quienes, despu√©s de realizar una valoraci√≥n del riesgo de los tratamientos que realizan, establecer√°n qu√© medidas han de aplicarse y c√≥mo deben hacerlo.    
  • Refuerzo del deber de informaci√≥n: el RGPD concede una mayor importancia a la informaci√≥n que debe proporcionarse a los ciudadanos cuyos datos van a tratarse, y se prev√© una lista exhaustiva de los contenidos que deben ser expuestos en las cl√°usulas informativas de protecci√≥n de datos (se incluyen, como nuevos par√°metros, los datos de contacto del delegado de protecci√≥n de datos, las categor√≠as de destinatarios de los datos personales, el plazo de conservaci√≥n de datos, etc.).
  • Desaparici√≥n del consentimiento t√°cito: el RGPD impone expresamente la obligaci√≥n de que haya una conducta activa para prestar el consentimiento por el interesado, y que el consentimiento sea expreso por parte de su titular (por ejemplo, no utilizaci√≥n de casillas de consentimiento preseleccionadas, o no utilizaci√≥n de cl√°usulas en las que se diga que con la simple lectura de las mismas se presta su consentimiento).  
  • Ampliaci√≥n de los derechos que pueden ejercer los interesados: se a√Īaden a los derechos de acceso, rectificaci√≥n, cancelaci√≥n y oposici√≥n el derecho a la limitaci√≥n del tratamiento -a petici√≥n del interesado, no se aplicaran a sus datos personales a las operaciones de tratamiento que en cada caso corresponder√≠an- y el derecho a la portabilidad de los datos -transmisi√≥n de datos del interesado directamente de un responsable a otro-.  
  • Transferencias internacionales: el RGPD ampl√≠a la lista de posibles instrumentos para ofrecer garant√≠as, incluy√©ndose, por ejemplo, las Normas corporativas Vinculantes, los C√≥digos de Conducta, etc. En estos supuestos no ser√° necesario obtener una autorizaci√≥n por parte de la directora de la Agencia Espa√Īola de Protecci√≥n de Datos, para transferir datos personales.
  • Endurecimiento de las sanciones por incumplimiento: aumenta el importe de las sanciones, pudiendo, la autoridad competente, imponer multas de hasta 20 millones de euros o de hasta el 4% del volumen de negocios a nivel mundial del infractor.
  • Indemnizaciones por da√Īos y perjuicios: el RGPD prev√© la posibilidad de que el responsable o encargado del tratamiento tengan que indemnizar al interesado por los da√Īos y perjuicios ocasionados.

Quedamos a su disposici√≥n para resolver cualquier duda que les pueda surgir en el procedimiento de adaptaci√≥n al nuevo reglamento comunitario del tratamiento de datos que est√© realizando su compa√Ī√≠a.

[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

Lecturas: 4.460