El 25 de mayo de 2016 entró en vigor el nuevo Reglamento General de Protección de Datos[1](“RGPD”, en adelante), cuyo objetivo principal es garantizar una aplicación uniforme y coherente del derecho de protección de datos en toda la Unión Europea dotando del máximo grado de armonización a esta regulación. Aun cuando es una norma de aplicación directa, actualmente se está trabajando con la redacción de una nueva ley orgánica de protección de datos, cuya aprobación está prevista para mayo de 2018, y por el momento se desconoce el contenido del Anteproyecto.
El Reglamento ha entrado ya en vigor, pero no comenzará a aplicarse hasta el 25 de mayo de 2018, dándose así un período transitorio en el que los responsables y encargados del tratamiento deberán ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del Reglamento en el momento en que sea de aplicación.
El RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones para los responsables y encargados del tratamiento. Entre las principales novedades destacan las siguientes:
- Medidas de seguridad: el RGPD establece un catálogo de las medidas que los responsables, y en ocasiones los encargados, deben adoptar para garantizar que los tratamientos sean conformes al Reglamento. Algunos ejemplos de medidas de responsabilidad activa son el mantenimiento de un registro de las actividades de tratamiento o la designación de un Delegado de Protección de Datos, entre otras. No obstante, el RGPD ya no dice qué medidas deben aplicarse según los niveles de seguridad (básico, medio y alto), sino que ahora serán los propios responsables y encargados quienes, después de realizar una valoración del riesgo de los tratamientos que realizan, establecerán qué medidas han de aplicarse y cómo deben hacerlo.
- Refuerzo del deber de información: el RGPD concede una mayor importancia a la información que debe proporcionarse a los ciudadanos cuyos datos van a tratarse, y se prevé una lista exhaustiva de los contenidos que deben ser expuestos en las cláusulas informativas de protección de datos (se incluyen, como nuevos parámetros, los datos de contacto del delegado de protección de datos, las categorías de destinatarios de los datos personales, el plazo de conservación de datos, etc.).
- Desaparición del consentimiento tácito: el RGPD impone expresamente la obligación de que haya una conducta activa para prestar el consentimiento por el interesado, y que el consentimiento sea expreso por parte de su titular (por ejemplo, no utilización de casillas de consentimiento preseleccionadas, o no utilización de cláusulas en las que se diga que con la simple lectura de las mismas se presta su consentimiento).
- Ampliación de los derechos que pueden ejercer los interesados: se añaden a los derechos de acceso, rectificación, cancelación y oposición el derecho a la limitación del tratamiento -a petición del interesado, no se aplicaran a sus datos personales a las operaciones de tratamiento que en cada caso corresponderían- y el derecho a la portabilidad de los datos -transmisión de datos del interesado directamente de un responsable a otro-.
- Transferencias internacionales: el RGPD amplía la lista de posibles instrumentos para ofrecer garantías, incluyéndose, por ejemplo, las Normas corporativas Vinculantes, los Códigos de Conducta, etc. En estos supuestos no será necesario obtener una autorización por parte de la directora de la Agencia Española de Protección de Datos, para transferir datos personales.
- Endurecimiento de las sanciones por incumplimiento: aumenta el importe de las sanciones, pudiendo, la autoridad competente, imponer multas de hasta 20 millones de euros o de hasta el 4% del volumen de negocios a nivel mundial del infractor.
- Indemnizaciones por daños y perjuicios: el RGPD prevé la posibilidad de que el responsable o encargado del tratamiento tengan que indemnizar al interesado por los daños y perjuicios ocasionados.
Quedamos a su disposición para resolver cualquier duda que les pueda surgir en el procedimiento de adaptación al nuevo reglamento comunitario del tratamiento de datos que esté realizando su compañía.
[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
Lecturas: 4.460