Las novedades del reglamento europeo de protección de datos
El 4 de mayo de 2016 se publicó el Reglamento UE 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de datos de las personas físicas y la libre circulación de éstos, más conocido como Reglamento General de Protección de Datos (RGPD). Dicha norma se promulga para armonizar las disposiciones relativas a los derechos en materia de privacidad y protección de datos, así como para garantizar estándares comunes de seguridad en el entorno digital en los países de la Unión Europea.
El plazo para la trasposición de la Directiva que aprueba el citado Reglamento finaliza el próximo 6 de mayo de 2018 y sus disposiciones serán plenamente aplicables el 25 de mayo de 2018, por lo que conviene conocer qué cambios o adaptaciones deberán llevar a cabo las empresas para asegurar el cumplimiento de la nueva regulación de protección de datos. No se trata de una cuestión baladí. Las multas impuestas por la Agencia Española de Protección de Datos (AEPD) son cuantiosas. Concretamente, el incumplimiento por parte de las empresas de la normativa de protección de datos podrá acarrear sanciones de hasta 20.000.000 euros o el 4% de la facturación anual del negocio, optándose por la de mayor cuantía.
Ciertamente la legislación española sobre protección de datos es una de las más avanzadas y completas de nuestro entorno, hasta el punto de que el propio Reglamento Europeo ha encontrado inspiración en varias de las disposiciones de la actualmente vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (LOPD). Por dicho motivo, la adaptación a la nueva regulación europea no debería suponer un gran problema para las empresas españolas que en la actualidad ya cumplen con la normativa vigente. Sin embargo, sí conviene tener en cuenta algunos cambios o novedades que implicarán la implementación por parte de los responsables del tratamiento de datos de determinadas medidas a los efectos de adaptarse a dichos cambios.
Veamos algunas de las novedades más relevantes:
- Inscripción de ficheros: Se suprime la obligación de inscribir los ficheros de datos ante las autoridades nacionales de protección de datos. Cada responsable deberá llevar un registro interno de los tratamientos de datos que vaya realizando.
- Evaluaciones de impacto: Con carácter previo a la implementación de medidas de protección de datos debe evaluarse el programa que ya existe en la empresa, el impacto del tratamiento de los datos en la persona, las medidas de que dispone y los procedimientos para asegurar el cumplimiento de sus obligaciones. El programa de protección de datos deberá construirse de acuerdo con dicha evaluación previa. Es lo que se denomina “privacy by design”.
- Protección de datos desde el diseño y por defecto: Ello implica, en primer lugar, que el responsable del tratamiento debe adoptar las medidas adecuadas en función de sus circunstancias concretas. En segundo lugar, la protección de datos por defecto significa que gracias a las medidas aplicadas sólo serán objeto de tratamiento los datos necesarios para cada fin concreto.
- Brechas de seguridad: Se amplía la obligación de comunicar a la autoridad de control cualquier quiebra de seguridad en el tratamiento de los datos, entendiendo por tal la destrucción o pérdida de datos personales conservados o transmitidos o el acceso o comunicación no autorizados de dichos datos. Cualquier violación de seguridad deberá comunicarse a la autoridad de control en el plazo máximo de 72 horas desde que se tiene constancia de ella.
- Derechos ARCO: Nos referimos a los clásicos derechos de acceso, rectificación, cancelación y oposición. Sigue siendo gratuito el ejercicio de dichos derechos por parte del interesado, sin embargo, como novedad, si la solicitud es manifiestamente excesiva, el responsable de los datos puede negarse a responder o cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información. Como novedad, destaca la incorporación del derecho de supresión, lo que comúnmente conocemos como derecho al olvido, que hasta el momento únicamente gozaba de reconocimiento jurisprudencial. Asimismo, se introduce la posibilidad de que los herederos puedan ejercer los derechos ARCO que correspondían a los fallecidos.
- Prueba del cumplimiento: Se exige al responsable que pueda acreditar en cualquier momento que todos y cada uno de los tratamientos de datos que ha tramitado ha cumplido con los requisitos legales establecidos. Ello implica, por tanto, un refuerzo de la prueba de ese cumplimiento.
- Delegado de Protección de Datos: El Reglamento introduce esta figura que informará al responsable o al encargado del tratamiento de los datos de las obligaciones que les incumben en virtud del Reglamento y supervisará el debido cumplimiento de dichas obligaciones. Los organismos públicos que traten datos deberán contar con dicha figura, así como las empresas privadas que traten datos a gran escala.
- Códigos de conducta: Se refuerza su presencia para general confianza entre los interesados. Las empresas que cumplan con los requisitos necesarios en materia de protección de datos podrán adherirse al código de conducta propio de su sector.
Si bien son más las novedades que trae consigo el Reglamento Europeo de Protección de Datos, y las explicaciones de cada una ellas, extensas, el presente artículo pretende únicamente dar unas cuantas pinceladas para que las empresas no descuiden la importancia de la normativa que está a punto de ser plenamente de aplicación.
A raíz del mencionado reglamento, existe ya un Proyecto de la nueva LOPD, que sustituirá a la de 1999 y que se adaptará plenamente a las disposiciones del nuevo Reglamento.