El 25 de Mayo comienza a aplicarse la nueva normativa de protección de datos personales

El 25 de Mayo entra en vigor la nueva Ley de Protección de Datos

Poco antes de que acabe el mes de mayo será de aplicación la nueva normativa de protección de datos, la cual tiene a todo el mundo expectante. Esta nueva normativa ha de tenerse muy en cuenta ya que será la propia empresa la que deberá responder ante cualquier posible incumplimiento.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), está en vigor desde el 25 de mayo de 2016 pero comenzará a aplicarse este próximo viernes 25 de mayo de 2018.

Con el nuevo Reglamento General de Protección de Datos llegan importantes novedades, implicaciones prácticas y cambios de enorme calado, que afectarán a cuestiones prácticas como el deber de información o la forma en la que se deberá prestar el consentimiento, como otras más profundas como la realización de análisis de riesgos, registro de actividades de tratamiento, protección de datos desde el diseño y por defecto, etc.

Si bien, con el nuevo Reglamento desaparece la obligación de registrar los ficheros en la Agencia Española de Protección de Datos, el responsable del tratamiento deberá adoptar nuevas medidas de responsabilidad activa en materia de prevención, de forma que pueda demostrar que cumple, en todo momento, con el Reglamento.

En España, además, se está tramitando la nueva ley orgánica que sustituirá a la vigente Ley Orgánica 15/1999 de protección de datos personales que, en principio, se espera para finales de este año, y que debe recoger las novedades e ir en consonancia con lo que establece el Reglamento europeo, que por ser precisamente una norma reglamentaria, es de directa aplicación en toda la Unión Europea sin necesidad de que los estados miembros dicten normativa de adecuación al respecto.

Como resumen de las principales novedades de mayor relevancia del Reglamento podemos destacar las siguientes:

  • Se amplía la obligación respecto del deber de informar a los interesados, de tal forma que las cláusulas informativas deberá ser más extensa de lo que actualmente se exige por la Ley española.
  • El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro.
  • Se regula el denominado “derecho al olvido”, por medio del cual el interesado tiene derecho a obtener del responsable del tratamiento la supresión de los datos personales que le conciernan.
  • Se crea la figura del delegado de protección de datos, que deberá crearse en los casos que las actividades del responsable y encargado del tratamiento consistan en operaciones de tratamiento que requiera una observancia habitual y sistemática de interesados a gran escala o se traten a gran escala datos calificados de categoría especial. Se permite que esta figura sea nombrado para una empresa en concreto o para un grupo empresarial, y que pueda ser tanto alguien que forme parte de la plantilla o un tercero.
  • En cuanto al consentimiento para el tratamiento de los datos, este deberá “libre, específico, informada e inequívoco” y el responsable del tratamiento de los datos deberá poder probar que el titular “consintió el tratamiento de sus datos”.
  • El Reglamento establece que en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considera lícito cuando cuente como mínimo con 16 años, aunque permite que los estados miembros podrán establecer por ley una edad que no sea inferior a 13 años. Actualmente en España es de 14 años.
  • Se fomentará la creación de mecanismos de certificación y sellos de calidad en materia de protección de datos.
  • En caso de la existencia de una violación de la seguridad de los datos personales, el responsable del tratamiento deberá notificarla a la autoridad de control competente a más tardar en 72 horas de haberse detectado.
  • Se establecen sanciones muy severas contra los responsables o encargados del tratamiento que infrinjan las normas de protección de datos. Las multas podrían alcanzar hasta los 20 millones de euros o el 4% del volumen de negocios total anual del ejercicio financiero anterior.
  • Se elimina la obligación de inscribir los ficheros, “pero habrá de aplicarse la protección de datos por diseño y por defecto, así como evaluaciones de impacto antes de determinados tratamientos de datos“.

La Agencia Española de Protección de Datos facilita desde su web amplia información al respecto. Información que va desde el Reglamento General de Protección de Datos hasta las condiciones para la obtención de la certificación que será requerida para aquellas personas que dediquen su actividad como delegados de protección de datos (DPD). Se puede encontrar más información en: Reglamento General de Protección de Datos

Desde Sánchez Garrido Abogados invitamos a todo el mundo, empresa o particular, a que se informe al respecto, y tengan muy en cuenta las empresas y profesionales las actuaciones y medidas a adoptar. Se recomienda ser meticulosos y rigurosos al respecto, pues de otra forma podemos enfrentarnos a importantes sanciones económicas.

 Miguel Marcos-Alberca Moreno

Abogado