El Parlamento Europeo aprobó en 2016 el Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, conocido como RGPD.
Por medio de este Reglamento, directamente aplicable en todos los estados miembros de la Unión Europea a partir del 25 de mayo de 2018, se viene a reforzar y homogeneizar la protección actual de los datos de carácter personal existente en la Unión Europea y prevé sanciones de considerable cuantía para quienes lo incumplan.
En consecuencia, a partir de esa fecha, en nuestro país será exigible y de obligado cumplimiento lo dispuesto en el Reglamento, sin perjuicio de que actualmente existe un proyecto de Ley Orgánica de Protección de Datos (“LOPD”) de Carácter Personal, que debería concretar algunos aspectos del Reglamento y que, si bien es previsible que esté aprobada antes del 25 de mayo, no existe garantía de que vaya a ser así. Algunas de las novedades son las siguientes:
Consentimiento
El consentimiento a la hora de tratar nuestros datos personales debe ser “inequívoco”, es decir, no se va a admitir el consentimiento tácito o por omisión. Esto significa que no serán válidas por ejemplo las casillas premarcadas que indican que consentimos, y que nos obligan a “desmarcarlas” en caso de que queramos negar nuestro consentimiento. Tampoco será válido un consentimiento global para varias finalidades, sino que deberá ser individualizado por cada una de ellas.
En algunos casos, además de inequívoco, el consentimiento deberá ser “explícito”, como ocurre en los casos de tratamiento de datos sensibles (salud, origen racial o étnico, opiniones políticas …) o en otros como el de transferencias internacionales de datos.
Por otro lado, se acabaron las fórmulas farragosas o que nos remiten a que busquemos el artículo en la ley, que en ocasiones encontrábamos en las cláusulas sobre privacidad de los contratos, páginas web, correos electrónicos y cualquier información o solicitud de autorización o consentimiento. Estas deberán ser sencillas y con un lenguaje claro.
Principio de responsabilidad activa
El reglamento no indica a las empresas qué tipo de medidas técnicas y organizativas son las que debe implementar para proteger los datos personales que trata, sino que le impone la obligación de adoptar un papel activo de análisis de la situación, identificación de riesgos y elección de las medidas que considere necesarias para evitar o minimizar sus riesgos. El Reglamento lo que impone es el resultado.
Nuevos derechos
Todos conocemos los llamados “Derechos Arco” constituidos por los derechos de acceso, rectificación, cancelación y oposición. El Reglamento nos trae dos nuevos derechos que se suman a los anteriores: el derecho al olvido, que nos va a permitir que no aparezca determinada información en buscadores de internet y el derecho a la portabilidad de los datos que va a permitir solicitar a una empresa que pase nuestros datos a otra en un formato estructurado, de uso común y lectura mecánica, en algunos supuestos.
Una figura nueva: El delegado de protección de datos
En español es el DPD (delegado de protección de datos) y en inglés DPO (Data Privacy Officer), que será el encargado en las empresas de velar por el cumplimiento de la normativa en protección de datos, quien deberá tener cualificación profesional en materia de protección de datos y estar dotado de autonomía y acceso directo a la dirección de la empresa.
No todas las empresas o entidades necesitarán contar con un DPD, pero sí tendrán esta obligación, entre otros, los organismos públicos, o empresas que realicen tratamiento de datos sensibles de forma masiva.
Entre las funciones del DPD o DPO se encontrará notificar a la Agencia de Protección de Datos las violaciones de seguridad que sufra la empresa cuando afecte a datos personales (Se pierdan, se alteren, sufran un acceso no autorizado …). El DPD deberá notificarlo en el plazo de 72 horas, salvo que no exista riesgo para los derechos y libertades de los afectados.