¿Qué hay de nuevo en el Reglamento General de Protección de Datos?
A partir del 25 de mayo de 2018 con la entrada en vigor del Reglamento General de Protección de Datos (RGPD 2016/679 del Parlamento Europeo y del Consejo de la Unión Europea, de 27 de abril de 2016) nos encontramos con que se armoniza la regulación sobre la Protección de Datos para todas las entidades que operen en la Unión Europea, con independencia del lugar donde tengan su sede. En conjunto Podemos decir que son normas más estrictas en materia de protección, y esencialmente implican que: a) se posibilita que las personas físicas tengan más control sobre sus datos personales y b) las empresas se benefician de esta especial protección en igualdad de condiciones que las personas físicas.
ANTES DE ESTE NUEVO REGLAMENTO ¿QUÉ HABÍA?
La regulación en Europa del tratamiento de los datos, comienza con la Directiva 95/46/CE de 24 de octubre de 1995 (actualmente derogada) que en España aplica la Ley Orgánica de Protección de Datos (Ley 15/1999 de 13 diciembre) y su posterior desarrollo normativo por medio del Real Decreto 1720/2007 de 21 de diciembre, que siguen en vigor.
¿POR QUÉ UN NUEVO RGPD PARA TODOS LOS ESTADOS MIEMBROS DE LA UE?
Básicamente porque la rápida evolución tecnológica (que permite la recopilación y almacenamiento de gran cantidad de datos personales) junto con la globalización han incrementado las dificultades para una adecuada protección de los datos personales.
Debido fundamentalmente a las relaciones comerciales intracomunitarias, la recogida y el intercambio de datos entre empresas privadas y Entidades Públicas de la Unión Europea ha experimentado un notable aumento haciéndose necesario que nos dotemos de normas coherentes y homogéneas para todos los Estados Miembros que proporcionen la seguridad jurídica y la transparencia necesarias, de manera que todos los sujetos implicados en el tráfico tengamos los mismos derechos y obligaciones en todo el territorio de la Unión.
¿QUÉ CONTEXTO JURÍDICO ENCONTRAMOS ACTUALMENTE?
Si bien por un lado encontramos el Reglamento del Parlamento Europeo y del Consejo (de obligado cumplimiento desde el 25 de mayo de 2018) directamente aplicable por los Estados Miembros, al mismo tiempo determinados artículos de este Reglamento remiten a su desarrollo legislativo por parte de éstos, y que en el caso de España nos obliga a adecuar el Derecho Español al Reglamento Europeo a través de una Ley Orgánica (puesto que era este tipo de Ley que anteriormente regulaba esta materia) y que actualmente se encuentra en fase de tramitación parlamentaria.
Por lo tanto la Ley Orgánica de Protección de Datos (Ley 15/1999 de 13 de diciembre) así como su desarrollo normativo (RD 1720/2007 de 21 de diciembre) siguen en vigor temporalmente (hasta la aprobación de la nueva Ley Orgánica) en todo aquello en lo que no contradigan lo dispuesto por el Reglamento del Parlamento Europeo.
No obstante, y a la vista de que determinadas cuestiones recogidas por el Reglamento tienen que ser inmediatamente aplicadas siendo susceptible de desarrollo y aplicación a través de Real Decreto-Ley (no estando por lo tanto reservadas a la Ley Orgánica) el 30 de julio de 2018 se publicó el Real Decreto-Ley 5/2018 de 27 de julio que recoge cuestiones imprescindibles para la aplicación del Reglamento General de Protección de Datos en el Estado Español, y especialmente a) determina quién es la autoridad de control (la Agencia Española de Protección de Datos) y b) establece el Régimen Sancionador.
PRINCIPALES CAMBIOS INTRODUCIDOS
- DESAPARECE LA OBLIGACIÓN DEL REGISTRO DE ARCHIVOS EN LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.
- Respecto de la CATEGORIA DE LOS DATOS: La antigua clasificación (alto, medio y bajo) se sustituye por una nueva nomenclatura (básicos, especiales y penales) sin que cambie no obstante el contenido esencial de cada uno de los niveles de protección.
- Necesidad de obtener de los sujetos cuyos datos se manejan el CONSENTIMIENTO EXPLÍCITO, que se traduce en que se les tiene que pedir una acción afirmativa que muestre su conformidad.
- Cambia la estructura relativa a la TRANSPARENCIA DE INFORMACIÓN: Se introducen una serie de cuestiones de las que hay que informar obligatoriamente a los sujetos cuyos datos se almacenan.
a. Quién es la persona o entidad responsable del tratamiento de esos datos.
b. Con qué finalidad se tratan esos datos.
c. Recopilación expresa del consentimiento del interesado (lo que se llama “legitimación del tratamiento”)
d. Quienes serán en su caso los destinatarios de hipotéticas cesiones o transferencias de esos datos.
e. Cuáles son los derechos que amparan a las personas cuyos datos se están tratando.
f. Cuál ha sido la procedencia u origen de los datos que se almacenan.
g. Cuál va a ser (en su caso) la duración (prevista) del tratamiento de esos datos. - Revisión de las CLÁSULAS INFORMATIVAS de los diferentes formularios de recogidas de datos.
- Se introduce obligatoriamente la realización de un ANÁLISIS PREVIO DE LOS RIESGOS que se pueden correr de que esos datos se vean tratados de manera ilegítima (y que será el punto de partida para el establecimiento de las medidas de seguridad que correspondan).
- Respecto de los DERECHOS DE LOS TITULARES DE LOS DATOS, encontramos básicamente:
a. Derecho de acceso.
b. Derecho de rectificación.
c. Derecho de supresión (también conocido como “derecho al olvido”).
d. Derecho de oposición.
e. Derecho de portabilidad.
f. Derecho a la limitación del tratamiento. - Se crea la figura del DELEGADO DE PROTECCIÓN DEL DATOS: responsable de asesorar al responsable o encargado del tratamiento y cuya figura sólo es obligatoria en los Organismos Públicos, en empresas de +250 trabajadores o en empresas que manejen datos especialmente protegidos y/o de los clasificados como “penales”.
- Cuando se produzcan violaciones de seguridad de datos de carácter personal (robo o acceso indebido a los datos personales) el titular del tratamiento tiene la OBLIGACIÓN DE COMUNICAR ESTA BRECHAS DE SEGURIDAD a la Agencia Española de Protección de Datos en las 72 horas siguientes a su conocimiento.
- Se modifica el RÉGIMEN DE SANCIONES por tratamiento indebido de los datos o por incumplimiento de alguno de los requisitos exigidos por la legislación en vigor:
a. 10 millones de euros o 2% del volumen de negocio.
b. 20 millones de euros o 4% del volumen de negocio.
Si necesitas adaptar tu empresa al nuevo Reglamento, en AEMTA podemos ayudarte.