|
 |
Abril 2016
protecciÓn de datos
SE APRUEBA EL TEXTO DEFINITIVO DEL
REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS
Tras más de cuatro años de proceso legislativo y de una larga y compleja negociación, el día 14 de abril de 2016 el Parlamento Europeo ha aprobado el esperado texto definitivo del Reglamento Europeo de Protección de Datos (el “Reglamento”). Este Reglamento renueva y sustituye el marco regulatorio de toda la Unión Europea (UE) en materia de protección de datos y resultará de aplicación directa a todos los Estados Miembros de la UE sin necesidad de que sea traspuesto por una norma nacional.
El Reglamento deroga y sustituye a la Directiva 95/46/CE y supone un paso hacia delante en la defensa de la protección de datos personales de los ciudadanos de la UE, reforzando el derecho a la protección de datos como un pilar básico de las garantías y libertades en Europa. Asimismo, se consigue la armonización en esta materia en todo el territorio de la UE mediante una norma única y de aplicación directa en todos los Estados Miembros, con el doble fin tanto de alcanzar un nivel coherente de protección en todo el territorio, como de evitar divergencias normativas que dificulten la libre circulación de los datos.
El Reglamento formaba parte del denominado “paquete legislativo de protección de datos”, que comprendía también la Directiva de protección de datos con fines de cooperación policial y judicial, que ha quedado aprobada junto con el Reglamento el mismo 14 de abril de 2016.
¿CUÁNDO ENTRARÁ EN VIGOR EL REGLAMENTO? |
El Reglamento entrará en vigor a los 20 días de su publicación en el Diario Oficial de la Unión Europea, si bien sus disposiciones y contenido resultarán de aplicación para empresas, ciudadanos y administraciones en el plazo de dos años (contados a partir de la fecha de su publicación en el mencionado Diario).
¿SIGNIFICA QUE LAS ENTIDADES ESPAÑOLAS NO DEBEN HACER NADA HASTA DENTRO DE DOS AÑOS? |
No. El Reglamento impone numerosas obligaciones de nuevo cuño a las empresas cuya implementación no podrá completarse −razonablemente− en un corto periodo de tiempo, sino que requerirá significativos esfuerzos de carácter organizativo, técnico, económico y humano. Debe tenerse en cuenta que, en general, el Reglamento introduce una exigencia de mayor compromiso de las organizaciones para garantizar la protección de datos a través del principio de “responsabilidad proactiva” (conocido como accountability), principio rector que deberá implementarse e impregnar toda la actividad de la organización.
Por ello, la adaptación de una empresa al nuevo régimen aplicable en materia de protección de datos va a requerir, necesariamente, el compromiso de sus órganos de dirección y de toda la organización, así como la involucración directa en su implementación de diferentes roles de dentro ‒y posiblemente fuera‒ de cada organización. La correcta (y completa) implementación de las obligaciones del Reglamento aconseja, por tanto, que las organizaciones se familiaricen con el contenido del Reglamento e inicien el diseño de los planes para su implantación desde este mismo momento de su aprobación.
Es conveniente aclarar que el marco legal actualmente vigente en España −fundamentalmente, la Ley Orgánica 15/1999 de Protección de Datos Personales (LOPD) y el Real Decreto 1720/2007 por el que se aprueba su reglamento de desarrollo− sigue en vigor hasta que no se determine su derogación, por lo que la progresiva implementación de las obligaciones del Reglamento durante este plazo de dos años no eximirá a las empresas de cumplir al mismo tiempo con la regulación nacional vigente.
¿QUÉ NOVEDADES INTRODUCE EL REGLAMENTO?¿LAS OBLIGACIONES DEL REGLAMENTO DIFIEREN MUCHO DE LAS ESTABLECIDAS EN LA LOPD Y SU REGLAMENTO DE DESARROLLO? |
Sin perjuicio de que muchos de los principios y de las obligaciones que establece el Reglamento ya resultan aplicables conforme a la LOPD y su reglamento de desarrollo, también es cierto que el Reglamento introduce numerosos cambios respecto al régimen actual aplicable en España. Entre otros, destacamos las siguientes novedades:
Ampliación del ámbito de aplicación territorial |
Además de su aplicación natural al tratamiento de datos realizado en el contexto de las actividades de establecimientos de responsables o encargados ubicados en la UE, el Reglamento será también de aplicación directa a entidades no europeas que realicen tratamientos de datos de interesados establecidos en la UE relacionados con (i) la oferta de bienes o servicios; o (ii) el control de su comportamiento (p.e., seguimiento a través de cookies). |
| Condiciones reforzadas para obtener el consentimiento |
Se refuerzan con carácter general los requisitos y condiciones para la obtención del consentimiento de los interesados (fundamentalmente, su carácter de inequívoco, libre y revocable y la exigencia de una declaración o clara acción afirmativa). Se establecen también condiciones específicas para obtener el consentimiento de menores, como el consentimiento en relación con la oferta de servicios de la sociedad de la información, que no podrán ofrecerse a menores de 16 años sin consentimiento paterno salvo que una ley nacional establezca una edad inferior (que, en ningún caso, será inferior a 13 años). |
| Nuevos derechos de los ciudadanos |
Además de los tradicionales derechos de acceso, rectificación, cancelación y oposición, se reconocen nuevos derechos (p.e., el derecho a la portabilidad de los datos) y se regulan derechos específicos como el derecho al olvido o el derecho a la limitación del tratamiento (dentro del derecho de cancelación –ahora llamado de supresión–) y el derecho a oponerse a actividades de profiling o segmentación de perfiles (dentro del derecho de oposición). |
| Deber de información reforzado |
La información que ha de proporcionarse sobre el tratamiento de datos es más amplia que la prevista en la LOPD. Esta información podrá ser proporcionada en combinación con iconos armonizados para todos los países de la UE. |
| Principio de accountability |
Se impone una obligación de “responsabilidad proactiva” que exige a las organizaciones el establecimiento de medidas que garanticen y permitan demostrar el cumplimiento del Reglamento (esto es, políticas de protección de datos que no solo han de existir, sino que han de estar adaptadas a las circunstancias de la organización, implementadas y funcionar en la práctica). Desarrollando este principio general, el Reglamento establece la obligación de las empresas de tener en cuenta la protección de datos desde el momento del diseño de sus procedimientos, productos y servicios (privacy by design) y a que por defecto solo sean objeto de tratamiento los datos personales mínimos que sean necesarios para alcanzar el fin legítimo perseguido (privacy by default). |
| Registro interno de las actividades de tratamiento |
Frente al marco normativo vigente que exige la inscripción de ficheros de las organizaciones ante la Agencia Española de Protección de Datos, el Reglamento se centra en obligaciones de registro internas. Así, salvo que resulte de aplicación alguna de las excepciones previstas en el Reglamento (p.e., que se trate de una empresa que emplee a más de 250 trabajadores), las empresas deberán llevar un registro interno y por escrito de las actividades de tratamiento que realicen. La información que ha de almacenarse es similar a la que actualmente se inscribe en la Agencia Española de Protección de Datos mediante la declaración de ficheros a través del formulario oficial (formulario NOTA). |
| Notificaciones de fallos de seguridad a la Autoridad de Control (y, en su caso, a los interesados) |
Salvo que resulte de aplicación alguna excepción, cuando una organización sufra un fallo de seguridad deberá notificarla a la Autoridad de Control competente sin demora injustificada y, a ser posible, a más tardar 72 horas después de que haya tenido constancia. Esta es, sin duda, una de las nuevas obligaciones del Reglamento que más cuestiones e incertidumbre suscitan a las empresas. Los interesados también deberán ser notificados en determinadas ocasiones. Además, se impone a los encargados del tratamiento la obligación de notificar a los responsables –sin dilación indebida- sus fallos de seguridad. |
| Realización de evaluaciones de impacto (Privacy Impact Assessments o PIAs) |
Se establece la obligación de las organizaciones de llevar a cabo evaluaciones previas de impacto para aquellos tratamientos que supongan un riesgo significativo para los derechos de las personas. De hecho, el Reglamento indica expresamente algunos casos en los que dicha evaluación será obligatoria. Cuando del resultado de la evaluación se deduzca un alto riesgo, deberá consultarse con la Autoridad de Control antes de llevar a cabo el tratamiento. |
Data Protection Officer (DPO) |
En línea con la tendencia actual que se aprecia en otras muchas normas de establecer figuras y roles específicos que aseguren en las empresas el cumplimiento normativo (compliance officers), el Reglamento introduce la figura obligatoria del “delegado de protección de datos” o DPO. Así, las empresas se verán obligadas a designar un DPO (ya sea internamente o externalizándolo en un tercero) cuando (i) las actividades principales del responsable consistan en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados y se realicen a gran escala; o (ii) las actividades principales del responsable consistan en el tratamiento a gran escala de categorías especiales de datos (p.e., datos de salud). En lo que a las Administraciones Públicas se refiere, el nombramiento de un DPO será obligatorio en todo caso. El Reglamento establece funciones, requisitos y protecciones específicas para esta figura.
En todo caso, a la vista de las nuevas y numerosas obligaciones previstas en el Reglamento para las organizaciones, el nombramiento de un DPO deviene altamente recomendable aun para aquellas organizaciones en las que dicho nombramiento no sea obligatorio. |
Se abordan de forma específica algunas preocupaciones actuales |
Las actividades de profiling y big data, la seudonimización de los datos o el tratamiento de datos en el ámbito laboral han merecido regulación y previsiones específicas dentro del Reglamento. |
Competencias de la Autoridad de Control y nuevo régimen sancionador |
El Reglamento introduce el principio denominado “one stop shop” que, bajo determinadas circunstancias, permite a la Autoridad de Control del lugar en el que se encuentre el establecimiento principal de un responsable o encargado actuar como autoridad de control principal en tratamientos de datos transfronterizos y asumir competencias de coordinación de procedimientos relativos a infracciones. Sin embargo, este principio no excluye completamente la competencia de las Autoridades de Control locales respecto a los tratamientos efectuados en sus correspondientes territorios.
Las multas económicas se incrementan respecto a los rangos establecidos en la LOPD y pueden alcanzar (i) hasta 10.000.000 de euros o hasta 2% del volumen de negocios mundial; o (ii) hasta 20.000.000 EUR o hasta 4% del volumen de negocios mundial. Asimismo, se reconoce la posibilidad de que los interesados deleguen en asociaciones y otras entidades sin ánimo de lucro la posibilidad de interponer reclamaciones en su nombre en materia de protección de datos. |
^ Volver al inicio
Las versiones de los documentos incluidas mediante link se corresponden con los últimos borradores hechos públicos en las versiones que han sido aprobadas el 14 de abril de 2016. La versión oficial del Reglamento y la Directiva será la que se publique en el Diario Oficial
|
|
La información
contenida en esta Circular es de carácter general y no constituye
asesoramiento
jurídico |
