Home / Servicios / Protección de Datos / Reglamento Europeo de Protección de Datos

Protección de Datos / Reglamento Europeo de Protección de Datos

El nuevo Reglamento europeo de Protección de Datos, que, por un lado, deroga la antigua Directiva (de 1995) y, por otro, armoniza la legislación en esta materia en todos los países de la Unión Europea. El Reglamento es de aplicación directa, sin embargo, será aplicable transcurridos dos años desde los 20 días siguientes a la publicación del Reglamento, es decir el 25 de mayo de 2018. Así, tanto empresas como administraciones cuentan con dos años para adaptase a las nuevas obligaciones.

Pincha aquí para acceder al Reglamento completo

Se establecen las siguientes novedades respecto a los derechos de los titulares:

Se modifican los requisitos del consentimiento informado, especificando que debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.

Los derechos de rectificación, supresión y derecho al olvido.

El derecho de oponerse incluso al uso de datos personales a efectos de establecimiento de perfiles

El derecho a la portabilidad de los datos de un prestador de servicios a otro

Por otra parte, respecto a los responsables de ficheros se establecen algunas obligaciones que o bien son novedosas o bien modifican las anteriores, estas son entre otras:

Se elimina la actual obligación de inscribir los ficheros en la Agencias y Autoridades de Protección de Datos, por considerar que esta obligación no contribuyó en todos los casos a mejorar la protección de los datos personales, debiendo sustituirse esta obligación por procedimientos y mecanismos eficaces como las evaluaciones de impacto. Estas evaluaciones serán necesarias para tratamientos que supongan un riesgo significativo para los derechos de las personas.

Se consolida el principio de transparencia en el tratamiento de los datos personales y el principio de accountability, destinados a ofrecer una información clara, transparente y de fácil acceso, teniendo la obligación de demostrar que se cumple con las exigencias del reglamento, utilizando para ello el establecimiento de medidas que permitan no solo garantizar el cumplimiento sino también poder demostrarlo.

Otros principios de nueva creación son los de Privacy by design  y Privacy by default por el que las empresas, con carácter previo al tratamiento de datos personales, deberán tener en cuenta toda la normativa que les pueda afectar estableciendo las medidas adecuadas (privacy by design), siendo obligatorio tratar exclusivamente los datos imprescindibles para llevar a cabo el tratamiento, garantizando por defecto que solo se tratarán los datos necesarios para el fin perseguido (privacy by default).

El Reglamento introduce la figura del Data Protection Officer (DPO) para supuestos en los que se efectúen tratamientos de datos a gran escala y que requieran un seguimiento regular, así como cuando se traten datos especialmente protegidos a gran escala o en los casos en los que el responsable del fichero sea una autoridad pública. El DPO podrá formar parte de la plantilla o ser una persona externa contratada al efecto y deberá velar por el cumplimiento del reglamento.

Respecto a las medidas de seguridad únicamente establece que se deberán aplicar las medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo.

Muchas de estas nuevas obligaciones deberán ser analizadas por la Agencia Española de Protección de Datos, de forma que se puedan aclarar determinados conceptos interpretativos como, por ejemplo, ¿cuándo se está ante un tratamiento de datos a gran escala?, o por ejemplo ¿cuándo resultará necesario realizar una evaluación de impacto?

Otra novedad que deberá desarrollarse por parte de la Agencia Española de Protección de Datos es la certificación, ya que el Reglamento establece que debe fomentarse el establecimiento de mecanismos de certificación y sellos y marcas de protección de datos, que permitan a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios correspondientes.

Además, el reglamento aborda otros temas que han suscitado grandes debates como por ejemplo las transferencias internacionales de datos, qué se considera establecimiento principal del responsable del fichero, así como la consideración como especialmente protegidos de los datos genéticos y biométricos.

Por último, el Reglamento aumenta ostensiblemente las cuantías de las sanciones establecidas hasta el momento pudiendo llegar a los 20 millones de euros o el 4% de la facturación general anual.

 

Agente de la Propiedad Industrial Colegiado