LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

19/03/2024. 12:55:32

LegalToday

Por y para profesionales del Derecho

Blog ECIJA 2.0

Novedades y curiosidades del nuevo Reglamento General de Protección de Datos

Asociado de ECIJA

Tras un complejo proceso que se ha prolongado durante varios años, el Parlamento Europeo aprobó la semana pasada el nuevo Reglamento General de Protección de Datos, que se compone de 11 capítulos, 99 artículos y 173 considerandos (no es ninguna novedad que el legislador europeo sea propenso al uso de considerandos). No obstante, esta nueva norma empezará a ser aplicable dos años después de su publicación en el Diario Oficial de la Unión Europea, es decir, en el segundo trimestre del año 2018.

Protección de datos

Ahora bien, esta suerte de vacatio legis de amplia duración se torna como algo sin duda necesario si tenemos en consideración que, al ser un Reglamento europeo, será directamente aplicable en todos los estados miembros. Esto significa que, al contrario de lo que sucedía con la anterior Directiva europea de 1995, los preceptos de este nuevo Reglamento formarán parte de nuestro ordenamiento sin necesidad de transposición alguna. De esta manera, este cuerpo normativo coexistirá con nuestra actual Ley Orgánica de Protección de Datos de carácter personal, si bien se entiende que el Reglamento debería prevalecer en todo aquello en lo que pudiera existir una contradicción.

En este sentido, si bien las novedades son numerosas, merece la pena centrar la atención en algunos de los elementos que probablemente serán críticos en el futuro:

  • Ámbito de aplicación. Se prevén nuevas situaciones en las que se aplica la norma, de modo que este Reglamento será aplicable, por ejemplo, al tratamiento de datos llevado a cabo por responsables fuera del territorio europeo cuando oferten bienes o servicios en la Unión.
  • Consentimiento y derechos de los usuarios. El Reglamento indica que el consentimiento debe prestarse mediante "una declaración o clara acción afirmativa", lo que parece indicar que ha de ser en todo caso explícito. Asimismo, los derechos se renuevan, configurando en su artículo 17 el derecho de supresión (derecho al olvido) o incluyendo otros derechos como el de portabilidad de los datos.
  • Evaluaciones de Impacto. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, entrañe un alto riesgo, el Reglamento incluye la obligación de que el responsable, antes de iniciar el tratamiento, realice una evaluación del impacto en lo relativo a la protección de datos de carácter personal.
  • Privacidad desde el diseño y por defecto. El artículo 25 del Reglamento establece que el responsable aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas a fin de aplicar de forma efectiva los principios de protección de datos.
  • Medidas de seguridad. No se especifican niveles de seguridad, sino que se establecerán medidas en base a ciertos criterios, como son la naturaleza y alcance del tratamiento, los costes de aplicación y los riesgos.
  • Régimen sancionador. El nuevo régimen recoge sanciones considerablemente más altas, pudiendo alcanzar los 20 millones de euros o el 4% del volumen de negocio global anual de la compañía infractora.

En cualquier caso, si bien las anteriores son probablemente algunas de las novedades más importantes, también podemos encontrar otras especialmente particulares, que quizás han pasado más desapercibidas:

  • Utilización de iconos para informar a los usuarios. El artículo 12.7 establece que, con el objetivo de mejorar la claridad, podrán utilizarse una serie de iconos o imágenes que informarán sobre las condiciones del tratamiento. Esto es de utilidad para informar de una manera "visual" (lo que no queda tan claro, al analizar los iconos propuestos, es si verdaderamente aportan más claridad o confusión al usuario).
  • Figura del delegado de protección de datos. Para proteger la independencia de esta figura, el Reglamento prevé que, a la vez que el delegado supervisa e informa sobre cuestiones relativas a la protección de datos, no puede ser destituido ni sancionado por desempeñar sus funciones y solo rinde cuentas ante el más alto nivel jerárquico. Por tanto, todo indica que no será el compañero más apreciado de la empresa.
  • Obligación de informar sobre vulneraciones de la seguridad. El artículo 33 obliga al responsable a informar sobre brechas de seguridad a la autoridad de control. Esto conlleva la paradoja de que en algunos casos sea la propia empresa la que esté advirtiendo y reconociendo que ha cometido una infracción.

Al margen de que sean más o menos particulares, todas estas novedades imprimirán el pilar fundamental sobre el que se asentará la nueva realidad de la privacidad en Europa. El tiempo y su futura aplicación por parte de las autoridades y los tribunales nos irán marcando las pautas a seguir en un ámbito que, si bien muchos operadores ya empezaban a controlar, ahora se transforma completamente para establecer unas nuevas reglas del juego.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.