Características del nuevo Reglamento Europeo de Protección de Datos

Por Josep Juan Buixeda. Instituto de Investigación de Conductas

Aunque el nuevo Reglamento Europeo de Protección de Datos entró en vigor el 25 de mayo de 2016, hemos pasado un tiempo de vacatio legis, para conocer qué modificaciones introducirá la nueva normativa respecto a la Directiva 95/46 del año 2000. De hecho, se estableció este período de dos años con el objetivo de permitir que los Estados miembros de la Unión Europea y demás instituciones comunitarias iniciaran el consiguiente período de preparación y adaptación hasta la aplicación del Reglamento, y finalmente el 25 de mayo de 2018 comenzó su aplicación.

claves del reglamento

Una de las características principales de la nueva regulación es que las empresas deberán contar con un/a DPD (Delegado/a Protección de Datos) encargado de la supervisión y cumplimiento de la LOPD. Esta persona podrá ser Interna o Externa.
Más adelante explicaremos qué empresas o colectivos estarán obligados.

Desde Avalon Risk Management – Invescond, S.L. vamos a desgranar el nuevo texto para su conocimiento por parte de las empresas y organizaciones afectadas. De la misma manera que la LOPD, y el futuro Reglamento Europeo se aplica a todos los responsables o encargados del tratamiento de datos de la Unión Europea. En este sentido, el nuevo texto incrementa la implicación por parte de quienes tienen acceso a datos de carácter personal, con lo que se aconseja llevar a cabo un análisis de riesgo de sus tratamientos para poder determinar qué medidas conviene aplicar y de qué manera. Conviene aclarar que estas medidas adoptadas por parte de empresarios u organizaciones españolas, en ningún caso deberán contradecir las disposiciones de la LOPD, que sigue siendo la norma por la que se regirán los tratamientos de datos en España.

Desde Avalon Risk Management – Invescond, S.L. vamos a daros a conocer las principales claves del Reglamento Europeo de Protección Datos, para que os vayáis formalizando del nuevo texto que regirá la privacidad de nuestros datos.

1.- Se amplía el ámbito de aplicación territorial del Reglamento 

Actualmente, prima la ubicación sobre la ciudadanía. Esto es, las empresas no pertenecientes o fuera de la unión europea quedan exentas del cumplimiento de la ley de protección de datos, aunque traten datos de personas de la Unión. El nuevo texto también será aplicable a todas aquellas empresas que gestionen o tengan acceso a datos de ciudadanos de la UE, con indiferencia de su ubicación geográfica.

2.- Mayor control de los ciudadanos

El Reglamento en vigor en 2018 introduce novedades como el derecho al olvido y el derecho a la portabilidad. De esta manera, queda incrementado el control y conocimiento de los ciudadanos en torno a los datos personales que entregan a personas ajenas. El derecho al olvido, reconocido en la actualidad por el Tribunal de Justica de la UE, permite la absoluta eliminación de datos e información personales, bajo condiciones especificadas, como, por ejemplo, si ya tienen cabida para los fines que fueron recogidos o si han sido tratados con otro objetivo. En una sentencia del Tribunal de Justicia de la Unión Europa del 13 de mayo de 2014, plantea la posibilidad de que se bloquee su identidad en la lista de resultados de los buscadores, en el caso de la divulgación de informaciones falsas o carentes de importancia, incompletas o que resulten fuera de contexto en la actualidad.
Por su parte, el derecho a la portabilidad alude a aquellas circunstancias en las que el ciudadano ha facilitado sus datos a una empresa u organización y la consiguiente solicitud de portabilidad a otro responsable de manera directa. Es el caso, por ejemplo, de la portabilidad al cambiar de compañía telefónica.

3.-Menores de edad 

El Reglamento establece en 16 años la edad mínima para que los menores puedan otorgar su consentimiento para los tratamientos de datos personales. No obstante, deja a la decisión de cada Estado miembro de la UE este límite de edad, siempre que no sea inferior a los 13 años (el actual límite de España se encuentra en 14 años). En todo caso, deberá tratarse de un contenido entendible por el menor. Por debajo de esa franja de edad o de la que corresponda establecida por cada país.

4.- Indemnizaciones

El próximo reglamento de protección de datos de 25 de mayo de 2018 alude a la posibilidad de indemnizar a una persona en el caso de que ésta se haya sentido vulnerada con el tratamiento de sus datos personales por parte del responsable. En la actualidad, la LOPD no incluye la indemnización a los damnificados.

5.- Ventanilla única

Se establece este sistema en los supuestos en que una empresa esté presente (física o virtualmente) en varios Estados miembros de la UE, con el fin de que los ciudadanos de estos países dispongan de una única autoridad de protección de datos a la que dirigirse. Por consiguiente, este sistema de ventanilla única no tendrá cabida cuando las empresas sólo estén presentes en un único Estado miembro o gestionen datos de un único país.

6.- Aplicación del Reglamento 

Aunque el texto estaba en vigor, su aplicación legal no ha sido hasta hoy 25 de mayo 2018, la entrada de su aplicación. No obstante, muchas empresas han empezado a prepararse mediante análisis de riesgo de los tratamientos de datos que efectúan en su organización.

7.- Implicación de empresas 

El Reglamento de 2018 incrementa el compromiso de las empresas y organizaciones; si bien mayoritariamente esta implicación alude a un diferente sistema de gestión de datos. Desde los organismos públicos, como la Agencia Española de Protección de Datos están desarrollando sistemas que permitan la concreción de los riesgos para pymes. En concreto, las siguientes empresas o colectivos estarán obligados a contar con un DPD (Delegado Protección de Datos): Colegios o Asociaciones Profesionales; Centros Docentes, de educación o Colegios; Empresas dedicadas a la gestión de redes; Sociedades de la Información; Empresas de Solvencia, Informes Financieros o Banca; Aseguradoras; Sociedades de Inversión; Empresas Energéticas; Empresas de Publicidad y Prospección Comercial; Empresas Socio-Sanitarias; Empresas de Juego y Máquinas recreativas; Empresas de Seguridad Privada. Para todas ellas se exigirá la contratación de un profesional acreditado/homologado como DPP ya sea de forma interna o externa.

8.- Responsabilidad activa  

Es una de las principales novedades del Reglamento, referida a la prevención por parte de aquellas entidades que traten datos personales. Para ello, las empresas deben tomar medidas, ya que el nuevo reglamento supone que la toma de medidas en el momento posterior a una infracción será insuficiente.

Imágenes: Shutterstock / Jirsak