Los retos del nuevo Reglamento Europeo de Protección de Datos
El nuevo Reglamento General de Protección de Datos de la UE, plantea interesantes retos a las empresas.
Publicado el lunes, 19 de septiembre de 2016 a las 12:38
Con la aprobación y posterior entrada en vigor del nuevo Reglamento General de Protección de Datos de la Unión Europea (RGPDUE), se pone fin al un largo camino comenzado en el 2012, el texto del que será el nuevo Reglamento General de Protección de Datos. Este reglamento, único para todos los países de la Unión Europea, fija por fin, una política común a este respecto.
Son muchas las novedades que este texto presenta. Fundamentalmente, es una modernización de la actual jurisprudencia al respecto de la protección de datos y actualiza al estado de la tecnología actual.
Entre las muchas novedades y detalles que podemos leer en el texto aprobado, se pueden destacar los siguientes aspectos:
- La protección de datos, no es un derecho absoluto, sino que se pone en relación con otras normas.
- Se reconoce el tratamiento masivo de datos (Big Data), fruto el estado actual de la tecnología y prevé su crecimiento.
- Se regula el tratamiento de datos de residentes en la Unión Europea por parte de responsables de tratamiento que no estén en la misma.
- Se establece el principio de transparencia, por el cual toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro.
- Se regula, ahora si, el derecho al olvido.
- Se mantendrán registros por parte de todos los responsables de tratamiento, de todas las actividades resultantes del tratamiento de datos personales.
- Cualquier violación de la seguridad de los datos personales, tiene que ser comunicada en un plazo de 72 horas. La comunicación tiene que incluir el tipo de incidencia y recomendaciones para que los afectados puedan reducir el daño que la misma pueda haber causado.
- Se crea la figura del DPO (por sus siglas en ingles, Delegado de Protección de Datos), para las entidades públicas y aquellas privadas que realicen tratamientos masivos de datos o estos tratamientos sean su actividad principal.
- Se revisan las competencias de las autoridades de control de cada estado y su relación entre ellas.
- En la recogida de datos de los interesados, además de lo supuesto hasta el momento, deberá informarse de la base jurídica para este tratamiento.
- La protección de datos, ha de figurar desde el inicio en el diseño y planificación de cualquier actividad, en las entidades que lleven a cabo tratamientos.
- Las entidades que traten datos personales, deberán crear una evaluación de impacto relacionado con la protección de datos. Esta evaluación se llevará a cabo antes de la puesta en marcha del tratamiento.
- Se crearán herramientas para promover la certificación y sellos a fin de garantizar el cumplimiento de los previsto en este reglamento. No solamente se piensa en las grandes corporaciones, sino que las micropymes y PYMES tendrán un tratamiento específico.
- El importe de las sanciones se modifica y unifica, estableciendo diferentes rangos de sanciones que llegan hasta el millón de euros o en el caso de empresas, un porcentaje de su facturación anual.
El texto aprobado, no se prevé entre en vigor antes del 2018, aunque la directora de la Agencia Española de Protección de Datos, expresó su deseo de que a mitad de 2017, las empresas estuvieran ya regularizadas. Supone un cambio importantísimo, ya que se unifican todas la políticas existentes y esto favorece que los afectados, puedan ver respetados sus derechos de la misma forma, estén en el país que estén.
Además, la normativa se adecua a la situación real actual, dejando de lado incongruencias que actualmente se producían al intentar adecuar una norma de hace 15 años a los usos de la tecnología actual.