Contenido y novedades del Reglamento General de Protección de Datos de la UE

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018. Este periodo de dos años tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.

Se trata de una normativa fundamental que cambiará la forma de actuar en todos los Estados Miembros de la Unión Europea y que implica una concienciación global sobre la privacidad de las personas y de las empresas.

Pese a que en España existe la LOPD y su reglamento de aplicación, al tratarse de un reglamento europeo, éste prevalecerá sobre la normativa española en cualquier situación que pueda existir una contradicción, y esto nos exige conocer bien las novedades que trae consigo, ya que las empresas tienen hasta el 25 de mayo de 2018 para adaptarse a este Reglamento.

Entre las múltiples novedades, vamos a destacar las más relevantes en función del impacto que tendrá en las empresas.

  • Se amplía la obligación respecto al deber de informar a los usuarios y clientesy se obliga a que el consentimiento del usuario deberá ser siempre explícito, bajo una declaración o acción afirmativa.
  • En cuanto al ámbito de aplicación afectará alos responsables que se dirijan y traten datos de ciudadanos europeos, independientemente del lugar donde radique su negocio. Esto quiere decir, que el reglamento es aplicable a aquellos responsables que no están en la Unión Europea, pero que ofrecen productos o servicios dentro de ella.
  • La figura del Delegado de Protección de Datosadquiere una importancia vital, siendo obligatorio para multitud de empresas. Se encargará, entre otras de garantizar el cumplimiento, notificar las brechas de seguridad, tramitar las autorizaciones necesarias, etc. Designar a un DPO (Data Protection Officer), será imprescindible para los organismos públicos y para aquellas empresas que traten datos personales a gran escala, podrá formar parte de la plantilla o ser un trabajador externo.
  • Se exigirán evaluaciones de impacto, sobre todo en aquellos casos que se vayan a tratar datos sensibles, teniendo que hacer esta evaluación antes de poder iniciar el tratamiento de los datos personales.
  • La privacidad desde el diseño se convierte en pieza clave para que las empresas responsables determinen desde el primer momento que medidas de seguridad deberán aplicar para el tratamiento de los datos que van a realizar. supone introducir este elemento desde la primera fase de un proyecto, desde la fase del diseño.
  • Se introduce el derecho a la portabilidad de los datos para solicitar a un responsable que los esté tratando de modo automatizado bien la recuperación de esos datos en un formato que permita su traslado a otro responsable o bien la transferencia de los datos directamente al nuevo responsable cuando sea técnicamente posible.
  • Se exige a los responsables de los datos que cuando observen una brecha de seguridaddeberán ponerlo en conocimiento de la Autoridad correspondiente. Este punto será uno de los más polémicos ya que la empresa responsable será la encargada de acusarse a sí misma.
  • El régimen sancionador, se vuelve más severo, sobre todo para aquellas empresas que tenga mayor facturación.

Estas novedades probablemente sean las que mayor impacto tendrán en las empresas, y por tanto, nos exige ir adaptándonos a ellas porque dentro de aproximadamente año y medio su cumplimiento será obligatorio.

Elena Díaz Gil

Área LOPD BK Consulting