El Parlamento Europeo y el Consejo aprobaron el nuevo Reglamento relativo a la Protección de las Personas Físicas en lo que res­pecta al Tratamiento de Datos Personales y a la Libre Circulación de estos Datos (en adelante, el “Reglamento General de Protección de Datos” o el “RGPD”) y por el que se deroga la anterior Directiva 95/46/CE.

El texto definitivo del RGPD se publicó el 4 de mayo de 2016 en el Diario Oficial de la Unión Europea y entró en vigor a los veinte días de su publicación. Será directamente aplicable y de obligado cumplimiento en todos los Estados miembros de la Unión Europea transcurridos dos años de su entrada en vigor, es decir, el 25 de mayo de 2018. Hay que tener en cuenta que los Estados disponen de este período de tiempo para realizar una transposición a la normativa nacional del nuevo Reglamento.

Esta norma nace con la clara vocación de garan­tizar en toda la UE la aplicación de los derechos y libertades de las personas físicas en relación con el tratamiento de datos de carácter personal para que se realice de manera coherente y homogénea en todos los Estados miembros.

Debemos de destacar las siguientes cuestiones prin­cipales o novedades:

1.  El Reglamento no recoge la obligación de inscribir los ficheros, pero se deberán seguir teniendo identificados y detallados, dado que existe la nueva obligación, según requisitos, de disponer de un registro de tratamientos realizados.
2. Evaluación de impacto relativa a la protección de datos. Cuando sea probable que un tipo de tratamiento de datos entrañe un alto riesgo para los derechos y libertades de las personas físicas, se deberá realizar antes de iniciar el tratamiento una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Existen varios casos en los que se requiere como obligatoria. A partir de ello deberán establecerse las medidas organizativas y técnicas necesarias.
3. Obligación de notificación, de las incidencias o violaciones de seguridad que afecten a datos personales, por parte del Responsable a la Autoridad de Control en un plazo de 72 horas o inmediatamente en determinados supuestos.
4. Designación de un Delegado de Protección de Datos (DPD). Es recomendable en general disponer del mismo y exigible para determinados casos concretos, como: (i) Administraciones Públicas, (ii) entidades cuya principal actividad lleve aparejada la monitorización de datos personales o el tratamiento de datos personales a gran escala, y (iii) entidades cuya principal actividad lleve aparejado el tratamiento de datos especialmente protegidos (por ej. datos relativos a la salud). Este DPD podrá pertenecer a la propia entidad o ser externo, si bien deberá ser designado atendiendo a sus cualidades profesionales, y conocimientos y práctica en materia de protección de datos.
5. Se establece un nuevo régimen sancionador, que puede llegar hasta multas de 20.000.000€ o al 4 % del volumen de negocio total anual global del ejercicio anterior.
6. Incorpora los conceptos de privacidad desde el diseño (“privacy by design”), tener en cuenta la privacidad durante todo el ciclo de vida del dato, desde la recogida hasta su cancelación, y por defecto (“privacy by default”) es la protección de los datos obligatoria para que la privacidad de las personas se vea protegida.
7. Respecto al consentimiento de los menores de edad, será lícito prestarlo sin tutores cuando estos tengan 16 años, aunque da la posibilidad de establecer por parte de los Estados miembros otros límites inferiores, pero nunca para menores de 13 años. El consentimiento no se podrá considerar válido en el caso de casillas premarcadas o mediante la inactividad. Asimismo, dentro de la consideración de datos especiales, se incluye los datos genéticos y biométricos de forma específica, para los que es necesario solicitar el consentimiento.
8. Se amplían los derechos de los ciudadanos, con el derecho al olvido (que se puede considerar igual que la cancelación de los datos), limitación del tratamiento, portabilidad de los datos (derecho a que se realice la transmisión de los datos de responsable a responsable) y oposición a tomar decisiones individuales automatizadas, incluida la elaboración de perfiles.

Como conclusión, cabe indicar que el nuevo Reglamento pretende implantar una nueva cultura de privacidad de los datos personales en las Entidades, y no ser sólo un mero cumplimiento legal. Para ello, a diferencia de la actual LOPD 15/1999 Española, el Reglamento Europeo incluye ciertas obligaciones o aspectos que obligan a las entidades a ser más activas y constantes en el cumplimiento de la legislación de protección de datos (demostrar obtención del consentimiento para tratar datos, registro de tratamiento, comunicación de incidencias, evaluación de impacto, etc.).

Estos aspectos, junto con los nuevos cambios que introduce el Reglamento y la complejidad de algunos de ellos, como la privacidad desde el diseño y por defecto y las evaluaciones de impacto, hacen necesario el ir realizando ya acciones de cara a poder garantizar un adecuado cumplimiento del Reglamento a su entrada en vigor. Para ello, la figura del DPD, así como los asesores expertos en privacidad de datos personales en los casos que sea necesario, es de gran relevancia para acometer este objetivo.

Por último, remarcar la gran demanda de proyectos, en concreto:

• El análisis de GAP’s – de la situación actual respecto al RGPD
• La adecuación al nuevo reglamento – RGPD
• Los servicios de Delegado de Protección de datos – DPD-. 

 Albert Lladó. Socio del área de GRC, Especialistas de Privacidad.