La Union Europea y el Consejo
han aprobado el Reglamento General de
Protección de Datos (RGPD), que tiene como objetivo unificar los regímenes de todos los Estados
Miembros sobre la materia, entrara en vigor el día 25 de mayo de 2016, si bien
su cumplimiento sólo será obligatorio transcurridos dos años desde dicha fecha.
Estas
son las principales novedades que establece la nueva norma en relación con el
régimen de la Ley orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal (LOPD).
§ PRINCIPIO DE
RESPONSABILIDAD (ACCOUNTABILITY). Habrá que implementar mecanismos que
permitan acreditar que se han adoptando todas las medidas necesarias para
tratar los datos personales como exige la norma. Es una responsabilidad
proactiva. Las organizaciones deben ser capaces de demostrar que cumplen dichas
exigencias, lo cual obligará a desarrollas políticas, procedimientos,
controles, etc.
§ PRINCIPIOS DE
PROTECCIÓN DE DATOS POR DEFECTO Y DESDE EL DISEÑO. Se deberán adoptar
medidas que garanticen el cumplimiento de la norma desde el mismo momento en
que se diseñe una empresa, producto, servicio o actividad que implique
tratamiento de dato, como regla y desde el origen.
§ PRINCIPIO DE
TRANSPARENCIA. Los avisos legales y políticas de privacidad deberán ser más simples e
inteligibles, facilitando su comprensión, además de más completos. Incluso se
prevé que, con el fin de informar sobre el tratamiento de los datos, puedan
utilizarse iconos normalizados.
§ En ocasiones, será
obligatorio designar un Delegado de Protección de Datos (DPO), interno o
externo, que asista a las organizaciones en el proceso de cumplimiento
normativo. No obstante, la complejidad de la nueva norma hará muy recomendable
esta figura en la inmensa mayoría de organizaciones.
§ En ciertos casos, se
deberán realizar EVALUACIONES DE IMPACTO SOBRE LA PRIVACIDAD, que
determinen los riesgos específicos que supone tratar ciertos datos de carácter
personal y prevean medidas para mitigar o eliminar dichos riesgos.
§ Las empresas
multinacionales tendrán como interlocutora a una sola autoridad de control
nacional: la del establecimiento principal de la entidad. Es lo que se conoce
como VENTANILLA ÚNICA.
§ Las BRECHAS DE
SEGURIDAD deberán ser comunicadas a las autoridades de control y, en
casos graves, a los afectados, tan pronto sean conocidas, estableciéndose el
plazo máximo de 72 horas.
breve explicación vía youtube
§ DATOS SENSIBLES: Se amplían los
datos especialmente protegidos, incluyendo ahora los datos genéticos y
biométricos. Se incluyen también en esta categoría las infracciones y condenas
penales, aunque no las administrativas.
§ La SELECCIÓN de
un encargado del tratamiento se endurece, puesto que habrá que elegir uno que
aporte suficientes garantías de cumplimiento normativo.
§ GARANTÍAS ADICIONALES
PARA LAS TRANSFERENCIAS INTERNACIONALES DE DATOS: Establecimiento
de garantías más estrictas y mecanismos de seguimiento en relación con las
transferencias internacionales de datos fuera de la Unión Europea.
§ SELLOS Y
CERTIFICACIONES: Se prevé que se creen sellos y certificaciones de cumplimiento que
permiten acreditar la Accountability por parte de las organizaciones.
§ DESAPARECE LA
OBLIGACIÓN DE INSCRIBIR LOS FICHEROS, que se sustituye por un control
interno y, en algunos casos, un inventario de las operaciones de tratamiento de
datos que se realicen, que se intuye de un contenido similar al que actualmente
tiene el formulario NOTA.
§ SANCIONES: Las cuantías de
las sanciones por incumplimiento de la norma crecen, pudiendo llegar a los 20
millones de euros o el 4% de la facturación global anual (no se excluye de las
multas a las Administraciones Públicas, aunque los Estados Miembros pueden
acordarlo así).
Pero aquí también los ciudadanos tienen derechos que cumplir :
§ TRANSPARENCIA e
INFORMACIÓN. Las organizaciones, al tratar datos personales, deben proporcionar mayor
información y de un modo más inteligible, completo y sencillo, lo que
favorecerá la toma de decisiones por el ciudadano. Se tiene una especial
consideración con los menores de edad en este punto.
§ CONSENTIMIENTO. El
consentimiento para poder tratar datos de carácter personal ha de ser
inequívoco, libre y revocable y deberá darse mediante un acto afirmativo claro.
No se admite consentimiento tácito.
§ DERECHO AL OLVIDO. Se podrá revocar el
consentimiento prestado para el tratamiento de datos personales en cualquier
momento, pudiendo exigir la supresión y eliminación de los datos en redes
sociales o buscadores de internet.
§ DERECHO A LA
LIMITACIÓN DEL TRATAMIENTO. Permite al ciudadano solicitar el bloqueo temporal
del tratamiento de sus datos cuando existan controversias sobre su licitud.
§ PORTABILIDAD DE LOS
DATOS. Se permitirá al ciudadano solicitar la transferencia de los datos
personales de un proveedor de servicios en Internet a otro.
§ DENUNCIAS. Se podrán presentar
denuncias a través de asociaciones de usuarios.
§ INDEMNIZACIONES. Se reconoce la
posibilidad de exigir indemnización de daños y perjuicios derivados del
tratamiento ilícito de los datos personales.
§ El responsable del
fichero podrá establecer un CANON a la contestación de los
ejercicios del derecho de acceso, teniendo en cuentas los costes
administrativos que ello le suponga.
§ las disposiciones
contenidas en el Reglamento son directamente aplicables en cada uno de los
Estados Miembros, sin necesidad de trasposición y obliga a las empresas
privadas e instituciones públicas a afrontar un importante proceso de
readaptación normativa.
§
