10 claves para entender el futuro Reglamento de Protección de Datos

10 claves para entender el futuro Reglamento de Protección de Datos

proteccion-datosAlgo nuevo se mueve en materia de protección de datos: el pasado 15 de diciembre de 2015 -tras casi tres años de negociaciones-, se alcanzó un acuerdo entre la Comisión Europea, el Parlamento Europeo y el Consejo de la Unión Europea sobre el que será el futuro texto del Reglamento General de Protección de Datos. La previsión es que éste se apruebe de forma definitiva en marzo o en abril de este año, para entrar en vigor a principios de 2018. El resultado promete convertirse en todo un reto para miles de empresas y ciudadanos en toda Europa, que se enfrentarán al mayor cambio normativo en esta materia desde que surgió Internet.

El objetivo es que se puedan aplicar reglas análogas en todos los países en los que se trate información de este tipo, evitando así diferencias de criterio, regímenes sancionadores dispares y distintos modelos de implantación en función del país o países en los que operen. El reto no sólo toca a las empresas situadas en el marco europeo, sino también a todas aquellas que traten datos personales con carácter comunitario, por lo que a unos y a otros les toca adaptarse a la futura norma y estudiar el texto en camino para adaptarse poco a poco a lo que vendrá.

Por eso, en este post nos proponemos identificar 10 de los grandes cambios que, si nada lo impide, se introducirán dentro de algún tiempo en el marco de nuestras empresas en materia de protección de datos. La clave es entender que la reforma pretende ir más allá de que las empresas que tratan datos implanten y formalicen documentos que luego tengan poca trascendencia práctica: lo que se busca es aumentar considerablemente las medidas destinadas a implantar entre los empleados y/o usuarios una auténtica cultura de confidencialidad y privacidad de los datos. Esto afectará a todas las empresas, y con mucho énfasis a empresas que trabajan con datos a través de sistemas remotos o vía web.

Pero, ¿cuáles son las 10 claves del futuro Reglamento?

Es importante partir de la idea de que el texto definitivo aún no ha visto la luz y, por tanto, existe la posibilidad de que se introduzcan modificaciones de última hora. Mientras, podemos resumir las novedades que traerá la norma en estas 10:

1. El reglamento introducirá nuevos derechos para los ciudadanos. Por ejemplo, el tan comentado derecho al olvido (es decir, el derecho que tiene el titular de un dato personal a borrar, bloquear o suprimir información personal que se considera obsoleta o no relevante por el transcurso del tiempo o que de alguna manera afecta el libre desarrollo de alguno de sus derechos fundamentales), o el derecho a la portabilidad de los datos de un usuario de un sistema de tratamiento electrónico a otro. Además, se velará por un acceso más fácil a los datos personales.

2. Aparece la figura del delegado de Protección de Datos (DPO, o Data Protection Officer). Las Administraciones Públicas -excluyendo juzgados y tribunales-, así como las empresas, organizaciones y entidades que lleven a cabo un tratamiento de datos “a gran escala” (por ejemplo, las que tengan más de 250 trabajadores, o las que manejen datos sensibles, como sanitarios o religiosos), tendrán la obligación de designar un delegado de estas características, que podrá estar en plantilla o bien ser una persona externa.

3.- Nace una nueva obligación de realizar análisis de riesgos y evaluaciones de Impacto para determinar el cumplimiento normativo. El objetivo es permitir a las organizaciones identificar los riesgos que un producto o servicio puede implicar para la protección de datos antes de que se materialicen. Se trata de una herramienta poco conocida en España pero plenamente asentada en países anglosajones.

4.- El futuro texto obligará a notificar a la Autoridad de Control los casos de brechas de seguridad, a lo que se suma que será necesaria autorización previa para determinados tipos de tratamiento. En caso de violación de datos personales, el responsable del tratamiento tendrá que notificarlo a la autoridad de control sin demora injustificada y, a ser posible, en un plazo de 24 horas.

5. Además, el Reglamento establece la obligación de registrar documentalmente las operaciones de tratamiento, tanto por parte de los responsables de fichero como por los encargados de tratamiento. La finalidad del registro es garantizar la publicidad de la existencia de las operaciones de tratamiento de datos personales notificadas a la empresa o entidad de que se trate.

6.- Aparecen nuevas obligaciones de información al interesado, mediante un sistema de iconos armonizado para todos los países de la UE.

7.- Aumenta la cuantía de las sanciones, hasta el punto de que éstas pueden llegar hasta los 10 millones de euros o el 2 por ciento de la facturación bruta anual a nivel mundial o hasta 20 millones de euros o el 4 por ciento de la facturación bruta anual a nivel mundial. En este sentido, corresponde a cada Estado Miembro decidir si extiende el régimen de sanciones a las administraciones y organismos públicos de su territorio.

8. Se habilitará una ‘ventanilla Única’ (One-stop-shop), de forma que una empresa española con sedes en Alemania, Italia u otro país de la Unión Europea solo tendrá que tratar con la autoridad de protección de datos española o con la del estado miembro donde se encuentre su matriz. Mediante la creación de esta Autoridad de Control, el vicepresidente de la Comisión Europea afirma que se conseguirá un ahorro de 2.300 millones de euros al año.

9.- Nacen nuevas obligaciones relacionadas con nuevas categorías especiales de datos: origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, pertenencia a sindicatos, datos genéticos y biométricos en orden a identificar singularmente a una persona o cualquier otro dato relativo a la salud, vida u orientación sexual de una persona… Estos tratamientos quedan prohibidos salvo que se cuente con el consentimiento explícito del afectado o que se ampare en alguna de las excepciones previstas, entre otras: cumplimiento de obligaciones en materia de empleo y seguridad social derivadas del derecho de la Unión, Estados Miembros o Convenios Colectivos, en interés vital de afectado o de otra persona que se encuentre física o mentalmente incapaz de prestar el consentimiento.

10. Los Estados Miembros, las autoridades de control, el Consejo Europeo de Protección de Datos y la Comisión, se verán en la obligación de promover modelos de certificación, sellos o marcas que sirvan para demostrar cumplimiento con el RGPD. Las específicas necesidades de las microempresas y las pymes se tendrán en cuenta a la hora de diseñarlos. Contar con estos sellos será voluntario y no reducirá la responsabilidad del cumplimiento con el RGPD por parte de controladores y procesadores de datos.
En este contexto, pymes y autónomos se perfilan como los grupos que más complicado lo tendrán a la hora de adaptarse al nuevo Reglamento. Por ello, el asesoramiento a estos pequeños negocios se convertirá en clave para evitar incumplimientos.

¿Tienes dudas sobre cómo hacer que tu empresa cumpla en materia de protección de datos? Consúltanos.



Abrir chat
Hola,
¿En qué podemos ayudarle?