Nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016

El 25 de mayo de 2016 entró en vigor el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento y libre circulación de datos personales y protección de datos, derogándose de esta manera la Directiva 95/46/CE.

A diferencia de las Directivas (que necesitan de una norma estatal para su incorporación a cada Estado) este Reglamento será de aplicación directa en toda Europa, sin necesidad de ello. Por la complejidad de la norma, y por la importancia de los derechos regulados, además de por el proceso de adaptación de empresas y Administración, el Reglamento no será aplicable en cada estado hasta el 25 de mayo de 2018. En esa misma fecha quedará derogada la Directiva 95/46/CE.

Sin perjuicio de profundizar en posteriores entregas, si fuera de interés, en algunos de los aspectos de esta nueva norma cardinal en la vida diaria de las empresas, vamos a destacar aquí algunas de las novedades más importantes:

1.- Se amplía el marco territorial de aplicación, ya que no sólo será de aplicación a las empresas de ámbito europeo, sino también a aquellas que traten datos personales de ciudadanos europeos, sea cual sea el lugar donde se encuentren. De esta forma, habrá que revisar los contratos en nuestras relaciones con países fuera de la UE.

2.- Se modifica el consentimiento del usuario al ser una de las bases fundamentales en la recogida de datos. Frente a la regulación anterior, donde se admitía un consentimiento implícito o tácito que procedía de la inacción del interesado, en la nueva regulación se exige un consentimiento libre, informado, específico e inequívoco, requiriéndose una declaración expresa de los interesados o acción positiva de la que se deduzca el acuerdo.

3.- Se regula el denominado “derecho al olvido” y el “derecho a la portabilidad”, que aumentan y mejora el control y decisión de los ciudadanos sobre sus datos. El primero se establece de forma específica en la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido y que supone que el interesado pueda bloquear en las listas de los resultados de los buscadores aquellos enlaces o vínculos (links) que le afecten y no tengan interés público o resulten obsoletos, falsos o incompletos. Respecto al derecho a la portabilidad, implica que el ciudadano que haya proporcionado sus datos a un responsable que los esté tratando de forma automática, podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. El anterior deberá transferir los datos directamente al nuevo responsable designado por el interesado, siempre que ello sea técnicamente posible.

El nuevo Reglamento Europeo de Protección de Datos regula el denominado “derecho al olvido”, que supone que el interesado pueda bloquear en las listas de resultados de los buscadores aquellos links que le afecten y no tengan interés público o resulten obsoletos, falsos o incompletos

4.- Respecto del consentimiento de los menores (cuestión muy debatida por el uso habitual de internet y redes sociales), se establece la edad de 16 de años (importante: aquí los Estados pueden bajar la misma hasta los 13 años) para que los menores presten su consentimiento para el tratamiento de datos, estableciéndose que los avisos de privacidad deben estar redactados en lenguaje compresible para los niños.

Debemos recordar que en España 14 años es la edad para la prestación válida del consentimiento, sin necesidad del concurso del consentimiento de padres o tutores.

5.- La figura del Delegado de Prevención de Datos se convierte en esencial, pudiendo esta figura formar parte de la plantilla de la compañía o ser un elemento externo, y su creación (también conocido como DPO o Data Protection Officer) será obligatoria para muchas empresas con la finalidad de garantizar el cumplimiento, notificar las violaciones de seguridad y tramitar las autorizaciones que sean necesarias.

6.- Revisión de los avisos de privacidad. Como advierten desde la misma Agencia Española de Protección de Datos, en dichos avisos habrá que explicar la base legal para el tratamiento de los datos, el tiempo o periodo en que se van a retener dichos datos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos, si así lo estiman. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.

7.- En el ámbito práctico de la vida de las empresas, es importante la creación del concepto de la Responsabilidad Activa, que conlleva un conjunto de medidas que dejamos enunciadas:

-Se crea el concepto de evaluaciones de impacto, que serán exigibles en aquellos casos que se vayan a tratar datos sensibles, debiendo ejecutarse esta evaluación antes de poder iniciar el tratamiento de los datos personales.

-La privacidad desde el diseño se convierte en un elemento esencial para que las empresas responsables determinen desde el primer momento las medidas de seguridad concretas que deberán aplicar para el tratamiento de los datos que van a realizar.

-Aunque con seguridad será un punto que se debatirá y habrá que esperar al pronunciamiento futuro de los tribunales, la norma exige a los responsables de los datos que las violaciones de seguridad deberán ser puestas en conocimiento de la Autoridad correspondiente, lo que supone que la empresa deberá acusarse a sí misma.

-Por último, el régimen sancionador (que ya era uno de los más duros de nuestro ordenamiento) se endurece, estableciéndose multas de hasta 20 millones de euros o el 4% de la facturación bruta del ejercicio anterior.

Enrique Ortiz Sierra, abogado y experto en asesoría fiscal y laboral

The post Las empresas ante el Reglamento de la Unión Europea de Protección de Datos appeared first on Sweet Press.