El nuevo reglamento europeo de protección de datos

El pasado 4 de mayo se publicó en el Diario Oficial de la Unión Europea el nuevo Reglamento de Protección de Datos, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

No obstante, desde su publicación hasta su fecha efectiva de aplicación, se ha establecido un período transitorio, de forma que dicho Reglamento no será aplicable hasta dos años después de la fecha de entrada en vigor (que se produce a los 20 días de su publicación en el Diario Oficial de la Unión Europea), esto es, mayo de 2018.

Con la publicación de este nuevo reglamento se pretende una “modernización y adaptación” de los tratamientos de datos a la era digital.

Proteccion de datos

Las principales novedades que recoge esta tan esperada norma son las siguientes:

La introducción del llamado “derecho al olvido”. 

Con este nuevo derecho se permitirá a los titulares de los datos obtener la supresión o rectificación de los datos personales que hubiesen facilitado al responsable del tratamiento en determinados supuestos, entre otros, cuando los datos no sean necesarios para las finalidades para las que fueron recogidos, cuando los datos personales hayan sido tratados ilícitamente o cuando los datos personales deban suprimirse para cumplir con una obligación legal.

No obstante, y como contrapartida, se establecen una serie de excepciones al ejercicio de dicho derecho, como puede ser el derecho a la libertad de expresión e información, el cumplimiento de una obligación legal, el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, por razones de interés público en el ámbito de la salud pública, con fines de archivo en interés público, de investigación científica, histórica o estadística, o para la formulación, el ejercicio o la defensa de reclamaciones.

La necesidad de “consentimiento claro y afirmativo” del titular de los datos.

No se admite ya el consentimiento tácito, y reforzando la obligación de informar al titular de los datos tanto en el supuesto de que los mismos se recaben directamente del interesado como si se obtienen de otra fuente.

Así no es suficiente con facilitar al titular de los datos la información obligatoria recogida en el LOPD, sino que deberá ampliarse dicha información a, entre otras cuestiones, el plazo de conservación de los datos o el derecho a la portabilidad de los mismos.

La “portabilidad de los datos”. 

Esta novedad permitiría a los titulares de los datos transferir sus datos de un sistema de tratamiento electrónico de un proveedor de servicios a otro, sin que se lo impida el responsable del tratamiento.

Derecho a ser informado. 

Siempre que los datos personales hayan sido “pirateados”, existe el derecho a ser informado.

La figura del Delegado de Protección de Datos (DPO). 

Se impone la obligatoriedad del nombramiento de un DPO siempre que el tratamiento sea llevado a cabo por una autoridad u organismo público, excepto los Tribunales que actúen en ejercicio de su función judicial; cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines requieran una observación habitual y sistemática de interesados a gran escala; o cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales (como el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos) y de datos relativos a condenas e infracciones penales.

El DPO deberá conocer profundamente las normas de protección de datos europeas, así como su práctica, pudiendo desarrollar esta función un empleado de la compañía o actuar mediante un contrato de prestación de servicios.

En cuanto a sus funciones destacan el asesoramiento general dentro de la empresa en todo lo relativo a protección de datos personales, la supervisión del cumplimiento de la legislación y políticas de privacidad, con especial atención a los riesgos asociados a las actividades que llevara a cabo la empresa, la elaboración de informes de evaluación de impacto de ciertos tratamientos de datos personales y la cooperación con las autoridades de control nacionales.

Sanciones en caso de incumplimiento. 

Por último, una de las novedades que más puede interesar a las empresas o responsables del tratamiento son las cuantías de las sanciones en caso de incumplimiento, las cuales se elevan pudiendo alcanzar, en su grado más alto, hasta 20.000.000 € o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

En definitiva, con el nuevo Reglamento de Protección de Datos se inicia un período de transición que implica un fortalecimiento de los derechos de los interesados y una rápida adaptación de las empresas a este nuevo marco normativo europeo.

Por Tamara Fuentes Vidal,
Abogada asociada del Despacho de Vigo.

 

¿Cumple su empresa con la normativa sobre protección de datos? Descúbralo