Ya está en marcha el Reglamento Europeo de Protección de datos

 

Antonio Durán-Sindreu Buxadé
Socio Director de DS, Abogados y Consultores de Empresa

 

El 25 de mayo del año en curso fue la fecha señalada para que el nuevo Reglamento Europeo de protección de datos resultara de aplicación directa en todos los Estados Miembros de la Unión Europea (Reglamento (UE) 2016/679 (UE) del Parlamento Europeo y del Consejo de 27 de abril de 2016).

No es de extrañar por ello que a finales de mayo empezáramos todos a recibir correos electrónicos de empresas y entidades que -por un motivo u otro- disponían de algún dato personal nuestro pidiéndonos el consentimiento expreso al tratamiento o informándonos de los cambios en su política de privacidad.

En este artículo, y ya con el Reglamento en marcha, haremos un recordatorio de las principales novedades que el mismo ha introducido y que pueden resumirse brevemente en los siguientes puntos:

(I) El principio de responsabilidad proactiva o “accountability”. La responsabilidad proactiva de las organizaciones se basa en su prevención para el tratamiento de datos. De esta suerte, las compañías que traten datos personales deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece.

(II) Análisis de riesgos previo al tratamiento y, en su caso, Evaluación de Impacto de Protección de Datos (EIPD). Con la información de la entidad que se recoja con carácter previo, se elaborará un informe de riesgos personalizado. El informe permitirá determinar las medidas técnicas y organizativas que deban incorporarse con el objeto de adaptar la actividad profesional a la normativa de protección de datos.
En relación con lo anterior, y en el supuesto que el tratamiento de datos entrañe un alto riesgo para los derechos y libertades de las personas físicas, cabrá llevar a cabo una Evaluación de Impacto de Protección de Datos (EIPD).

 

 

III) Desaparece la obligación de inscribir ficheros en la Agencia Española de Protección de Datos (AEPD). Esta obligación ha sido sustituida por la confección de un registro de actividades de tratamiento por cada entidad. En este registro se deberá indicar, entre otros aspectos, el nombre y datos de contacto del responsable, los fines de tratamiento o, en su caso, los posibles destinatarios de los datos personales.

(IV) Deber de informar y los derechos de los titulares de los datos. La información facilitada al interesado para el tratamiento de sus datos (por ejemplo, un cliente) debe ser clara, sencilla, inteligible y de fácil acceso.
Por otra parte, el interesado goza de nuevos derechos con respecto a la legislación anterior. En particular, le asisten los siguientes derechos: acceso, rectificación, supresión, limitación al tratamiento, portabilidad de los datos y oposición al tratamiento.

(V) Se refuerza la exigencia del consentimiento. La novedad más importante que introduce el Reglamento en este aspecto es la desaparición del consentimiento tácito. Es decir, la solicitud del consentimiento al interesado para tratar sus datos personales debe presentarse de tal forma que le permita manifestar expresamente su aceptación. De ahí los muchos correos que recibimos en fechas cercanas al 25 de mayo, como exponíamos en la introducción.

(VI) Informar sobre las “brechas” de seguridad. El Reglamento articula la obligación de notificar a la autoridad de control una brecha de seguridad (violación de la seguridad de los datos personales) cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas. Esta actuación debe realizarse dentro de las primeras 72 horas desde que acontece.

(VII) El Delegado de Protección de Datos. Para explicar brevemente la figura del DPO destacamos tres extremos de interés: (a) No todas las entidades que tratan datos personales están obligadas a designar un DPO: Únicamente deberá nombrarse en caso de que concurra alguna de las circunstancias previstas en el artículo 37 del RGPD, que en general no van a concurrir en una Oficina de Farmacia. (b) La figura del DPO puede ser interna o externa: Cabe la posibilidad de contratar un profesional externo que desempeñe las funciones de DPO. En la práctica éste será el supuesto más habitual puesto que, como se verá en el punto siguiente, el DPO debe reunir una serie de características técnicas y jurídicas. (c) Aptitudes profesionales del DPO: El DPO será designado atendiendo a sus cualidades profesionales y a sus conocimientos del Derecho y la práctica en materia de protección de datos.

Es de ver, por tanto, como el Reglamento europeo introduce una serie de novedades para todas aquellas entidades que traten datos de carácter personal.

Además, no debe olvidarse que en España la adaptación al Reglamento requiere la elaboración de una nueva ley orgánica de protección de datos que sustituya a la actual. En este sentido, el Gobierno ha impulsado el proyecto de nueva ley orgánica que actualmente se encuentra en sede de tramitación parlamentaria, por lo que las novedades en la materia parece que tendrán continuidad y deberemos seguir atentos a las mismas.

Artículos Relacionados

Copyright © 2018 Revista Acofar. Todos los derechos reservados.
Joomla! es un software libre publicado bajo la Licencia Pública General GNU.