El reto del nuevo reglamento europeo de protección de datos
Manuel Mas Albéniz

   El 25 de mayo de 2016 entró en vigor el Reglamento (UE) 2016/679 (REPD), de aplicación directa en toda Europa, lo que supone una armonización extremadamente compleja, por ello el propio REPD otorgó un plazo de 2 años para facilitar las adaptaciones en los Estados Miembros. Por tanto, mayo de 2018 no es un punto de partida, debe representar una meta de cumplimiento en sí mismo.

Armonización y proactividad son notas características del REPD, que refuerza el derecho a la protección de datos como derecho fundamental, y permitir a los ciudadanos europeos un mejor control, lo que implica un reto para las empresas, que deberán tomar decisiones organizativas para afrontar un nuevo escenario. Las novedades más destacables del REPD:

1) Pº Transparencia: facilitar información más amplia, rigurosa y clara, previa al tratamiento de los datos. Prohibido el consentimiento tácito, siendo sólo válido el consentimiento expreso. Las empresas deberán revisar sus procesos de solicitud de consentimiento (Formularios, web y contratos).

2) Nuevos derechos: a) “derecho al olvido” posibilidad de solicitar que borren sus datos en determinadas circunstancias; b) “derecho a la portabilidad” se deberá proporcionar una copia, o, cuando sea posible, transferir los datos a otro responsable indicado, y c) “derecho de limitación”, se podrá solicitar una limitación del tratamiento de sus datos.

3) Elaboración de informes de evaluación de impacto cuando se lance un nuevo producto, servicio o estrategia, para identificar posibles nuevos riesgos en el tratamiento.

4) Notificación a la autoridad de control de fugas de datos en plazo de 72h. En determinados casos los ciudadanos también deberán ser notificados.

5) Empresas que realizan tratamientos masivos, tratan Datos de Salud, Infracciones Penales, etc. deberán contar obligatoriamente con un Delegado de Protección de Datos (DPO), siendo recomendable para el resto. El DPO debe tener formación específica, medios adecuados y contará con independencia en su cometido. Se consignará su identificación ante la Autoridad de Control, y la empresa deberá publicar sus datos de contacto. El DPO marcará los designios de la empresa ante la autoridad de control.

6) Empresas con sede en varios países de la UE, responderán ante la autoridad del país en el que tenga su sede principal (ventanilla única). Las transferencias de datos fuera de la UE, se limitará a aquellos países que ofrezcan protección adecuada, además, el REPD afecta a empresas que, fuera de las fronteras europeas, traten datos de ciudadanos europeos.

7) Multas previstas de hasta 20 millones de euros o el 4% de la facturación de una empresa.

En resumen, las empresas deben afrontar decisiones a corto plazo para llegar a mayo de 2018 con garantías de cumplimiento, y confiar en profesionales con experiencia (DPO certificados) que le permitan dar pasos en la dirección correcta. Recordemos que la Protección de datos no es una pegatina de la ITV, es una actitud permanente de la empresa hacia los datos que trata.

Manuel Mas Albéniz

Abogado

Twitter: @Masalbe

Compartir es demostrar interés!