Reglamento Europeo de Protección de Datos. Implicaciones.

El pasado 25 de mayo de 2016 entró en vigor el nuevo reglamento europeo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento y libre circulación de datos personales, derogándose así la Directiva 95/46/CE .

Este Reglamento, a diferencia de las Directivas, será de aplicación directa en toda Europa, sin necesidad de incorporación por los Estados miembros a su ordenamiento interno. Debido a la trascendencia de las nuevas normas y derechos regulados en este nuevo Reglamento, éste no será aplicable en cada Estado hasta el 25 de mayo de 2018 ya que es necesario un largo periodo de adaptación en los Estados, Administraciones públicas y empresas. En esa misma fecha quedará derogada la Directiva 95/46/CE.

El Reglamento pretende reforzar el derecho a la protección de datos personales, inherentes a todas las personas, como derecho fundamental permitiendo a los ciudadanos europeos un mejor control de los mismos. Por su parte, las empresas podrán aprovechar al máximo todas las oportunidades de un mercado único europeo.

Pero, ¿cuáles son las principales novedades del nuevo Reglamento?

• Deber de información. Se amplía la información que el responsable debe facilitar previamente al tratamiento de los datos.

• Consentimiento. La solicitud de consentimiento como base legal para el tratamiento de los datos será más clara y rigurosa. Debe ser proporcionado de manera libre, específica, informada y sin ambigüedades, es decir, no se permitirá el consentimiento ´tácito o por omisión. Las empresas, por tanto, deben revisar sus procesos de solicitud de consentimiento para comprobar si se adecúan a los nuevos requisitos establecidos por el Reglamento.

• Datos especialmente protegidos. Se refuerzan las medidas aplicadas a datos que requieren especial protección. Estos incluyen: datos sanitarios, biométricos, genéticos, raciales e ideológicos.

• Ejercicio de derechos. El Reglamento sigue reconociendo no sólo los ya clásicos derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) sino que, además, regula nuevos derechos: el “derecho al olvido” por el que los ciudadanos tienen el derecho de solicitar a las empresas que borren sus datos en determinadas circunstancias como, por ejemplo, cuando los datos ya no sirven a los propósitos para los que fueron recogidos; el “derecho a la portabilidad” de datos, por el que aquellas organizaciones que traten datos de manera automatizada deberán proporcionar a los ciudadanos interesados una copia de estos datos en el formato solicitado para facilitar la portabilidad. El ciudadano podrá solicitar, siempre que sea posible, que la misma empresa transfiera los datos a otro responsable directamente. Y, por último, el derecho de limitación, facultad de los interesados para solicitar y obtener del responsable de tratamiento, una limitación del tratamiento de sus datos personales.

• Evaluación de impacto sobre protección de datos. Las empresas deben elaborar informes sobre posibles riesgos para la protección de datos cuando diseñen un nuevo producto o servicio. Estas declaraciones de impacto sobre protección de datos pueden ser requeridas para identificar posibles riesgos en el tratamiento.

• Notificación de incidencias. El nuevo reglamento requiere la notificación a las autoridades de las fugas de datos dentro de un plazo de 72 horas desde que se produzca. En el caso de que haya perjuicio significativo para los ciudadanos, éstos deben ser también notificados.

• Delegados de protección de datos (DPO). El nuevo Reglamento estipula que las empresas que gestionen un gran volumen de datos personales o que tengan el tratamiento de datos como una de sus principales actividades, deben designar un oficial de protección de datos.

• Ventanilla única. En el caso de que una empresa tenga sede en varios países miembros de la Unión Europea, ésta responderá ante la autoridad de protección de datos del país en el que tenga su sede principal. Esta autoridad de protección de datos nacional actuará como ventanilla única para todas aquellas actividades que la empresa desempeñe en los distintos países.

• Restricción de las transferencias de datos fuera de la UE. La transferencia de datos a un país fuera de la UE está limitada a aquellos países que ofrezcan una protección de datos adecuada.

• Mayores multas. El Reglamento Europeo incrementa las sanciones por incumplimiento pudiendo suponer multas de hasta 20 millones de euros o el 4% de la facturación de una empresa.

Por lo tanto, el Reglamento General de Protección de Datos (RGPD) establece directrices y mandatos claros en algunos de sus aspectos, dejando otros sin embargo a la adecuada gestión interna de las organizaciones para garantizar el derecho a la protección de datos personales inherentes a todas las personas. De esta manera, todos los procesos de gestión de datos personales deberán incluirse dentro de los procesos generales de la compañía (análisis y gestión de riesgos, análisis de impacto, etc.).

¿Cómo podemos ayudarte?

• Acerca de
• Últimas entradas

José Antonio Castrillo

José Antonio es director del Área de Consultoría y GRC (Governance, Risk Management & Compliance). En 2014, se incorporó a Forvis Mazars como director del área de Governance, Risk , Internal Control y Compliance. José Antonio es licenciado en Derecho, Máster en Dirección y Gestión de la información y Tecnología y Máster en derecho de Nuevas Tecnologías, Certificado CISA; CISM;CGEIT por ISACA así como Auditor de SO 27000 por BSI.

Escríbeme

Últimas entradas de José Antonio Castrillo (ver todo)

• Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción - 21/02/2023
• Aprobado el primer Sello de certificación Europeo de cumplimiento del RGPD - 18/10/2022
• Cómo mantener la confianza en el crowdfunding inmobiliario en 2022 - 07/02/2022