El pasado 25 de mayo entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD). El Reglamento fue Publicado en el DOUE el pasado 4 de mayo de 2016 tras su aprobación unas semanas antes, el 14 de abril, por el Parlamento Europeo.
Al tratarse de un reglamento, es de aplicación directa en toda Europa, sin necesidad de que los Estados miembros tengan que incorporarlo a su marco normativo, como sí ocurre con el caso de las Directivas. No obstante, tanto las Administraciones como las empresas tienen un plazo de dos años para adaptarse al Reglamento ya que este no será de aplicación obligatoria hasta transcurridos dos años desde los 20 días siguientes a su publicación. Por tanto, la fecha clave a efectos de aplicación es el 25 de mayo de 2018.
A pesar de esta particular vacatio legis, la importancia de la regulación radica en que ya están en vigor las normas comunitarias que garantizan la protección de los datos de las personas físicas, al tiempo que regula las normas relativas a la libre circulación de los datos.
Principales novedades
En cuanto a las principales novedades, hay que destacar que modifica los requisitos del consentimiento informado: debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento. A partir de ahora no constituirá consentimiento el silencio, las casillas ya marcadas o la inacción. Regula además el derecho al olvido como un derecho efectivo de supresión, así como el derecho a la portabilidad de los datos.
De gran importancia son también las obligaciones que establece con respecto a los responsables de los ficheros. Así, elimina la actual obligación de inscribir los ficheros en la Agencias y Autoridades de Protección de Datos y consolida el principio de transparencia en el tratamiento de los datos personales. Aplica también criterios de responsabilidad activa (accountability), de forma que las obligaciones de los responsables se orientan principalmente a la adopción de medidas preventivas que les sitúen en posición de cumplir con el Reglamento. Unido a lo anterior, las empresas deberán asegurarse del cumplimiento de la normativa y establecer los mecanismos de cumplimiento para garantizar que solo se tratarán los datos necesarios: principios Privacy by design y Privacy by default.
El Reglamento introduce además la figura del Data Protection Officer (DPO), o delegado de protección de datos, que será el responsable de garantizar el cumplimiento de la normativa y que se seleccionará teniendo en cuenta tanto sus conocimientos en la materia como sus cualidades profesionales.
No deroga la LOPD
La norma comunitaria no deroga la Ley Orgánica de Protección de Datos (LOPD), ya que como Reglamento no puede hacerlo y quien tiene competencia para ello son las Cortes Generales, si bien implica un desplazamiento de la citada ley. Además, la Agencia Española de Protección de Datos deberá desarrollar la certificación, ya que el Reglamento establece que debe fomentarse el establecimiento de mecanismos de certificación y sellos y marcas de protección de datos, que permitan a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios correspondientes.
Aranzadi Protección de Datos
En resumen, se ha iniciado un período de transición complejo hacia un nuevo marco normativo de la privacidad en Europa, que es de aplicación tanto a las empresas como a las instituciones públicas y privadas y de enorme incidencia para los ciudadanos. Su correcta aplicación exige que los responsables de su cumplimiento cuenten con las herramientas adecuadas, a la cabeza de las cuales se encuentran las desarrolladas por Thomson Reuters, la compañía, líder en el ofrecimiento de soluciones tecnológicas e información inteligente para empresas y profesionales.
El cumplimiento de la materia regulada por el Reglamento tiene su respuesta con Aranzadi Protección de Datos, la herramienta puntera en la materia. Ofrece un servicio de consultoría orientado al correcto cumplimiento de la normativa vigente que regula la protección de datos por parte de todos aquellos profesionales y empresas que en el desarrollo de su actividad manejen datos de carácter personal. Nuestras soluciones alcanzan:
- Servicio de consultoría: Diagnosis inicial del cumplimiento legal y adecuación normativa de la actividad.
- Servicio de auditoría: Verificación del cumplimiento de la normativa, control de las medidas implantadas, emisión de Informe de Auditoría y dictamen de valoración, sobre el grado de cumplimiento alcanzado por parte del cliente.
- Servicio de mantenimiento: asesoramiento y actualización continua.
