Novedades del Reglamento Europeo de Protección de Datos

El Reglamento Europeo de Protección de Datos significa una clara apuesta por la unificación y la modernización de Europa en materia de protección de datos de carácter personal.

La norma es de aplicación directa en todos sus Estados miembros, sin necesidad de transposición directa al derecho interno. Es decir: España no deberá publicar una nueva norma en protección de datos, sino que aplicará el articulado del Reglamento Europeo.

El Reglamento permitirá a los ciudadanos un mejor control de sus datos personales, y las empresas aprovecharán al máximo las oportunidades de un mercado único digital, reduciendo la burocracia y beneficiándose de una mayor confianza de los consumidores.

Es importante destacar que el Reglamento lleva en vigor desde el 25 de mayo de 2016  pero sólo será aplicable a partir del 25 de mayo de 2018 (la UE ha establecido esta moratoria para permitir que las entidades públicas y privadas se adapten a la nueva Reglamentación y sus numerosos cambios).

¿Cuáles son los principios rectores del Reglamento?

• Un único conjunto de normas aplicable en la UE: todos los Estados aplicarán el Reglamento Europeo de Protección de Datos.
• Ventanilla única: los empresarios se relacionarán con un único supervisor en Europa.
• Europa se rige por la normativa europea: las empresas radicadas fuera de la Unión deberán aplicar las mismas reglas cuando ofrezcan sus servicios en la UE.
• Consideración de los riesgos específicos: las nuevas normas evitarán pesadas obligaciones genéricas sobre el tratamiento de datos, adaptándolas apropiadamente a sus respectivos factores de riesgo.
• Privacidad desde el diseño: la salvaguarda de la protección de datos se incorpora a los productos y servicios desde sus primeros estadios de desarrollo.
• El consentimiento para el tratamiento de los datos deberá ser "libre, específico, informado e inequívoco" y el responsable del tratamiento de los datos deberá poder probar que el titular "consintió el tratamiento de sus datos".
• Nuevos derechos para los ciudadanos: a los ya conocidos derecho de acceso, rectificación, cancelación y oposición se les unen el de transparencia, el derecho al olvido, a la limitación del tratamiento y a la portabilidad de los datos.

¿Qué pasa con la LOPD y su Reglamento de desarrollo?

La entrada en vigor del Reglamento Europeo de Protección de Datos plantea la duda de cómo va a convivir en España con la LOPD. Parece que la ley española podrá seguir siendo aplicable en lo que esté fuera del Derecho de la UE, pero hasta mayo de 2018 no es posible aventurar si la LOPD quedará derogada en su conjunto o sólo en parte.

Además, se suscitan dudas en materias como el registro de ficheros: ¿habrá que seguir realizándolo en nuestro país por efecto de la LOPD o cabe entender una derogación tácita de sus disposiciones en este sentido? Cabe entender una derogación tácita, pero sólo podremos estar seguros de esta situación cuando se aplique.

Asimismo, cabe preguntarse en qué papel quedará la AEPD y qué valor tendrán sus circulares en el nuevo contexto.

Principales novedades del Reglamento

• Principios aplicables al tratamiento de datos: nuevos principios, nuevas reglas para el responsable del tratamiento:
  • Licitud, lealtad y transparencia.
  • Limitación de la finalidad.
  • Minimización de datos.
  • Exactitud.
  • Limitación del plazo de conservación.
  • Integridad y confidencialidad.
  • Responsabilidad proactiva.
• Condiciones para entender válidamente prestado el consentimiento.
• El responsable del tratamiento debe poder probar que se prestó consentimiento.
• Regulación específica del conocido como Derecho al olvido.
• Principio de portabilidad de los datos.
• Responsabilidad del responsable del tratamiento de los datos por la adopción y actualización de las medidas adecuadas.
• Registro de las actividades de tratamiento.
• Notificación a los interesados de las violaciones de seguridad.
• Evaluación de impacto relativa a la protección de datos.
• Consulta previa a la autoridad de control en caso de identificarse riesgos en el tratamiento.
• Introducción de la figura del Delegado de protección de datos. Cuestión muy importante en el ámbito de las Administraciones Públicas (Local, Autonómica y Estatal) que deberá contar en sus filas con una persona que cumpla esta función.
• Regulación de las transferencias internacionales de datos.
• Criterio "One stop shop" para la reclamación de la violación de las obligaciones de protección de datos por parte de una multinacional.