28 Apr Todas las claves del nuevo Reglamento de Protección de Datos
Hace pocas semanas hablamos en nuestro blog sobre una normativa que se encontraba de camino y que, a día de hoy, ya es un realidad: se trata del nuevo Reglamento de Protección de datos, un texto que promete generar un giro importante en toda Europa hacia una mayor protección de los datos personales de miles de ciudadanos. ¿Cómo? A través de garantías más estrictas en materia de protección de información sensible, Derecho al Olvido, derecho a controlar la portabilidad de datos o su cesión a terceros… ¿Quieres conocer todas las novedades que supondrá?
El Reglamento es fruto de nada menos que cuatro años de negociaciones y un trámite final en el Parlamento comunitario que finalizó con éxito el pasado 14 de abril. El resultado es un texto completo y más garantista para los ciudadanos, aunque su aplicación sin duda traerá de cabeza a miles de empresas durante el tiempo de adaptación que se otorga, y que finaliza en 2018. Las empresas de toda Europa –así como las extranjeras que traten datos de ciudadanos europeos- tienen por tanto dos años para adaptarse a los nuevos tiempos si quieren evitar sanciones por parte de las autoridades competentes.
El texto dice mucho sobre los retos que la era digital llevaba tiempo planteando: su objetivo es devolver a los ciudadanos el control de sus datos personales y garantizar en toda la UE unos estándares de protección elevados y adaptados al entorno digital. Entre otras cosas, se regula el Derecho al Olvido (ya dibujado en gran parte gracias a la jurisprudencia del TJUE), o el tratamiento de datos personales especialmente sensibles.
Nuevos derechos para los ciudadanos europeos
Una de las claves del nuevo Reglamento se encuentra en otorgar a los ciudadanos europeos nuevos derechos en materia de protección de datos, reforzando además los existentes y aclarando los términos necesarios. Se trata de actualizaciones necesarias en un entorno en el que la era digital supone cambios de paradigma muy rápidos.
– La norma se inspira en nuevos principios reguladores: los tratamientos de datos deberán ser justos, legales y transparentes, y éstos deberán obtenerse para finalidades específicas, explícitas y legítimas, así como no usados para finalidades incompatibles. Igualmente deberán ser adecuados, relevantes y limitados a las finalidades previstas, debiendo ser actualizados o eliminados cuando sean inexactos.
– El texto recoge el llamado ‘Derecho al Olvido’, dando así forma legal a lo que la jurisprudencia comunitaria ya ha ido construyendo. Se trata del derecho que tiene el titular de un dato personal a borrar, bloquear o suprimir información personal que se considera obsoleta o no relevante por el transcurso del tiempo o que de alguna manera afecta el libre desarrollo de alguno de sus derechos fundamentales.
– El nuevo Reglamento hace especial hincapié en el derecho a la portabilidad de los datos de un usuario de un sistema de tratamiento electrónico a otro, e impone que se vele por un acceso más fácil a los datos personales.
– Además, nacen nuevas obligaciones relacionadas con nuevas categorías especiales de datos: origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, pertenencia a sindicatos, datos genéticos y biométricos en orden a identificar singularmente a una persona o cualquier otro dato relativo a la salud, y vida u orientación sexual de una persona. Según el nuevo Reglamento, todos estos tratamientos quedan prohibidos salvo que se cuente con el consentimiento explícito del afectado o que se ampare en alguna de las excepciones previstas, entre otras el cumplimiento de obligaciones en materia de empleo y seguridad social derivadas del derecho de la Unión, Estados Miembros o Convenios Colectivos, en interés vital de afectado o de otra persona que se encuentre física o mentalmente incapaz de prestar el consentimiento.
– El enfoque del texto es más preventivo que sancionador: las empresas también tendrán una nueva obligación de realizar análisis de riesgos y evaluaciones de impacto antes de iniciar el tratamiento de datos, con el fin de comprobar que cumplen con la normativa. La idea es identificar previamente los riesgos que un producto o servicio puede implicar para la protección de datos antes de que se materialicen. También deberán registrarse documentalmente las operaciones de tratamiento de datos, una obligación que afectará tanto a los responsables de fichero como a los encargados de tratamiento. Con todo, el texto incluye un régimen sancionador completo, que detallan tanto las agravantes como las atenuantes.
– Aparece la figura del DPO (Data Protection Officer), que deberá designarse en las Administraciones Públicas -excluyendo juzgados y tribunales-, así como las empresas, organizaciones y entidades que lleven a cabo un tratamiento de datos “a gran escala”, entendiéndose por gran escala tener más de 250 trabajadores o manejar datos especialmente sensibles, como los relacionados con salud, religión, etc.
– El texto contiene una nueva regulación de los mecanismos de supervisión y control, algo muy importante teniendo en cuenta que en la actualidad solo 13 de las autoridades nacionales tienen la competencia previa de autorización de flujos de datos a terceros países, mientras que en el resto de los casos intervienen solo después cuando conocen que se ha producido algún tipo de vulneración de la normativa.
– Otra novedad pasa por la creación de la ‘ventanilla Única’ (One-stop-shop), que permitirá que una empresa española con sedes en otros países de la UE sólo tenga que dirigirse a la autoridad de protección de datos española o a la del Estado miembro donde se encuentre su matriz.
¿Necesitas que tu empresa se adapte al nuevo Reglamento? ¡Consúltanos!