Novedades sobre el nuevo reglamento general europeo en materia de protección de datos
El Reglamento Europeo de Protección de Datos unifica y moderniza la normativa europea sobre protección de datos, permitiendo a los ciudadanos tener un mejor control de sus datos personales y a las empresas aprovechar al máximo las oportunidades de un mercado único digital, reduciendo la burocracia y beneficiándose de una mayor confianza de los consumidores.
Junto a esta norma se ha publicado también la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6638/2016), relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo DOUEL 04-05-2016 119 C. Según su artículo 99, el Reglamento “entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.” Sin embargo, sólo será aplicable “a partir del 25 de mayo 2018”.
Como tal Reglamento de la Unión y según establece su frase final, “será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro”. Por lo tanto, el nuevo reglamento se basa en:
- Un “derecho al olvido”: Cuando una persona ya no la quiere / sus datos a procesar, y siempre que no existan motivos legítimos para retenerlo, se borrarán los datos. Se trata de proteger la privacidad de los individuos, no se trata de borrar los eventos pasados o restringir la libertad de prensa.
- Un acceso más fácil a los datos de uno: los individuos tendrán más información sobre cómo se procesa sus datos y esta información debe estar disponible en una forma clara y comprensible. Un derecho a la portabilidad de datos, será más fácil para las personas para transmitir datos personales entre los proveedores de servicios.
- El derecho a saber cuándo se ha cortado de datos de uno: Las empresas y organizaciones deben notificar a la autoridad nacional de supervisión de las violaciones de datos, que ponen a los individuos en riesgo y se comunican a los interesados todas las violaciones de alto riesgo tan pronto como sea posible para que los usuarios puedan tomar las medidas apropiadas.
- Protección de datos por diseño y por defecto: “La protección de datos en el diseño» y «protección de datos por defecto ‘son ahora elementos esenciales en normas de protección de datos de la UE. Garantías de protección de datos serán incorporados en los productos y servicios desde las primeras etapas del desarrollo, y la configuración por defecto respetuosos de la intimidad serán la norma – por ejemplo, en las redes sociales o aplicaciones móviles.
- Un mayor respeto de las normas: las autoridades de protección de datos será capaz de multar a las empresas que no cumplan con las normas de la UE hasta un 4% de su volumen de negocios anual global.
- Designación de un oficial de protección de datos para las empresas: siempre que sus actividades básicas necesiten de un seguimiento periódico y sistemático de los titulares de los datos a gran escala o si se procesan categorías especiales de datos personales como el origen racial o étnico o las creencias religiosas revelador. La entrada en vigor de este nuevo Reglamento plantea la duda de cómo va a convivir en España con la LOPD (LA LEY 4633/1999).
Igualmente también cabe preguntarse en qué papel quedará al AEPD y qué valor tendrán sus circulares en el nuevo contexto.