REGLAMENTO (UE) 2016/679 RELATIVO AL TRATAMIENTO DE DATOS PERSONALES Y A LA LIBRE CIRCULACIÓN DE LOS MISMOS

El Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), propuesto por la Comisión Europea y tras varios años de negociaciones entre el Consejo de la Unión Europea y el Parlamento Europeo de fecha 27 de abril de 2016 será aplicable a partir del próximo 25 de mayo de 2018.

 

Se ha concedido un periodo de dos años a las empresas a efectos de que empezaran a actuar conforme las medidas impuestas por el Reglamento, con el objetivo de que en el mes de mayo hayan realizado las modificaciones oportunas para respetar sus disposiciones.

 

Es conveniente aclarar que el marco legal actualmente vigente en España −fundamentalmente, la Ley Orgánica 15/1999 de Protección de Datos Personales (LOPD) y el Real Decreto 1720/2007 por el que se aprueba su reglamento de desarrollo− sigue en vigor hasta que no se determine su derogación, aunque sin duda alguna, ciudadanos y empresas se verán en unos meses directamente afectados por la nueva regulación.

 

Las principales novedades que introduce el Reglamento de Protección de Datos (RGPD) son las siguientes:

 

La principal novedad se encuentra en la ampliación del ámbito de aplicación del RGPD. Esto es, el Reglamento no sólo se aplicará a responsables o encargados de datos establecidos en la Unión Europea, sino que se va a ampliar dicha aplicación a responsables y encargados no establecidos en la Unión Europea siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión Europea.

La aplicación de este nuevo Reglamento va a requerir el nombramiento, por parte de dichas organizaciones, de la figura de un representante en la Unión Europea, cuya función será la de hacer de intermediario entre las Autoridades de supervisión y los ciudadanos. En algunos casos, este representante podrá llevar a cabo acciones de supervisión que hayan desarrollado esas autoridades.

 

El RGPD ha incluido, por primera vez en un Reglamento europeo la regulación del Derecho al Olvido. Ésta figura jurídica consiste en el derecho que tienen los ciudadanos europeos a que se solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

Una de las bases sobre la que se sustenta el nuevo Reglamento de Protección de Datos es la llamada responsabilidad activa, es decir, las empresas deben adoptar medidas que permitan asegurar razonablemente que están en condiciones de cumplir con lo que dispone el Reglamento. No vale actuar sólo cuando ya se ha producido la infracción, sino que debe preverse la misma (prevenir y no curar).

 

Entre las medidas que incorpora el Reglamento de Protección de Datos, precisamente para evitar que las empresas actúen únicamente cuando ya se ha producido la infracción, encontramos la obligación, por parte de todas las organizaciones que tratan datos, de realizar un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo deben hacerlo.

Tanto las Autoridades de protección de datos europeas (de forma colectiva), como la Agencia Española (individualmente), trabajan para ofrecer herramientas de identificación y valoración de riesgos y en recomendaciones sobre la aplicación de medidas. Dichas herramientas y recomendaciones van dirigidas especialmente a pymes que son las que llevan a cabo de forma más habitual tratamientos de datos.

 

Otro de los pilares del RGPD recae sobre el consentimiento. De éste se dice que debe tener carácter general y ser libre, informado, específico e inequívoco, es decir, se requiere una declaración del interesado o una acción positiva que represente el acuerdo del mismo. El consentimiento nunca se podrá deducir del silencio o de la inacción de los ciudadanos.

Es importante destacar, también, que las empresas deben poder demostrar que los interesados otorgaron su consentimiento. Por eso es tan importante que el consentimiento se pueda verificar.

 

Con la entrada en vigor del nuevo Reglamento las empresas deberán revisar sus avisos de privacidad. El Reglamento General de Protección de Datos prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la anterior Directiva y las leyes nacionales no era necesario incluir. Por ejemplo, el aviso de privacidad deberá incluir entre otras cosas, una explicación de la base legal para el tratamiento de datos, así como de los periodos de retención de los mismos e informar a los interesados sobre la posibilidad de dirigir sus reclamaciones a las Autoridades de protección de datos.

 

Otra de las novedades que incorpora este nuevo Reglamento es el llamado sistema de “ventanilla única”. Cuando los responsables establecidos en distintos Estados miembros o cuando, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE, tendrán que dirigirse ante una única Autoridad de protección de datos que actuará como interlocutora.

También implica que cada Autoridad de protección de datos europea, en lugar de analizar una denuncia o autorizar un tratamiento a nivel estrictamente nacional, a partir de la aplicación del Reglamento valorará si el supuesto tiene carácter transfronterizo, en cuyo caso habrá que abrir un procedimiento de cooperación entre todas las Autoridades afectadas buscando una solución aceptable para todas ellas. Si hay discrepancias insalvables entre ellas, el caso puede elevarse al Comité Europeo de Protección de Datos, un organismo de la Unión compuesto por los directores de todas las Autoridades de protección de datos de la Unión. Ese Comité resolverá la controversia mediante decisiones vinculantes para las Autoridades implicadas.

 

Tanto la integración económica y social resultante del funcionamiento del mercado interior como la rápida evolución tecnológica y la globalización, han planteado nuevos retos para la protección de los datos personales. Mediante este Reglamento, la Unión Europea garantiza una protección adecuada a todos los ciudadanos europeos.