NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Pincha aquí para descargar el pdf
Después de varios años de tramitación, el pasado 14 de Abril el Parlamento Europeo aprobó el texto definitivo del conocido ya como nuevo Reglamento Europeo de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), el cual ha sido publicado el pasado 4 de Mayo en el Diario Oficial de la Unión Europea (DOUE).
Este nuevo Reglamento sustituye a la Directiva 95/46/CE, a la que expresamente deroga.
La norma resulta de aplicación directa a todos los Estados miembros de la UE, sin necesidad de transposición, y entrará en vigor el próximo 25 de Mayo de 2016, aunque no será aplicable hasta el 25 de Mayo de 2018.
Con su aprobación, se pretende unificar y armonizar en toda la Unión Europea la normativa sobre protección datos personales, dando más control a los ciudadanos sobre su información privada, como consecuencia de los avances tecnológicos.
Indicamos a continuación de forma breve, desde una primera aproximación, algunas de las novedades que introduce y/o potencia el Reglamento, sin perjuicio de remitirnos a la información que con posterioridad irá remitiendo nuestro despacho.
Con carácter general dentro de su contenido destacan las siguientes novedades:
- Se establece como principio del tratamiento de los datos personales el de Transparencia y se aclara el de Minimización de datos (arts. 11 a 13).
- Se incluye el Derecho del interesado al Olvido o Supresión de sus datos y se indican las condiciones de ejercicio de este derecho, incluida la obligación del responsable del tratamiento que haya difundido los datos personales, de informar a los terceros sobre la solicitud del interesado de suprimir todos los enlaces a los datos personales, copias o réplicas de los mismos (arts. 16 y 17).
- Se crea el Derecho a la Portabilidad de los datos, que previsiblemente tendrá gran impacto en las plataformas P2P y en las redes
- Se incorpora el principio de la Privacidad desde el diseño, en virtud del cual desde el principio del diseño de aplicaciones que traten datos personales se ha de garantizar la privacidad de estos.
- Se establecen las obligaciones del responsable del tratamiento, al que se corresponde la obligación de demostrar que el tratamiento es conforme al Reglamento (art. 24).
- Se establece la obligación de notificar las violaciones de los datos personales a las autoridades de supervisión en el plazo de 72 horas, así como a las personas implicadas (arts. 33 y 34).
- Se obliga a que los responsables y encargados del tratamiento lleven a cabo una evaluación de impacto de la protección de datos antes de efectuar operaciones de tratamiento arriesgadas (arts. 35 y 36).
- Se crea la figura del Delegado de Protección de Datos, que podrá ser interno o externo, con un alto nivel de
Tiene encomendadas las funciones de informar a la entidad o responsable o al encargado del tratamiento de sus obligaciones legales en materia de protección de datos de carácter personal, así como de velar por que se sigan las normas (internas y externas) al respecto, y de cooperar con la autoridad de control y actuar como punto de contacto entre ésta y la entidad responsable del tratamiento (arts. 35 y 36).
- Se establecen nuevas autoridades de supervisión, creando el nuevo Comité Europeo de Protección de Datos, por encima de las diferentes autoridades de supervisión. Entre sus funciones el consejo debe velar para la aplicación de las disposiciones de forma coherente (arts. 68 a 76).
- Se introduce el mecanismo de coherencia para garantizar la aplicación uniforme aplicación en las operaciones de tratamiento de datos que puedan afectar a los interesados de varios Estados miembros (arts. 60 a 67).
- El Reglamento se aplicará a todas las empresas europeas pero también a aquellas empresas de fuera de la UE que realicen actividades dentro de la UE que impliquen el tratamiento de datos personales, incluso si no tienen presencia física en el territorio de la Unión.
- Respecto de las sanciones, éstas sufren un fortísimo incremento, pudiendo llegar en los casos muy graves a alcanzar hasta 20.000.000€ (veinte millones de euros) o el 4% por ciento de la facturación a nivel mundial (art. 83).
En el ámbito laboral establece la posibilidad de que los Estados miembros establezcan normas específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores, en particular, las normas relacionadas con:
- contratación de personal;
- ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo;
- gestión, planificación y organización del trabajo;
- igualdad y diversidad en el lugar de trabajo;
- salud y seguridad en el trabajo;
- protección de los bienes de empleados o clientes;
- ejercicio y disfrute, individual o colectivo, de los derechos y prestaciones relacionados con el empleo;
- extinción de la relación
Las empresas deben incluir medidas adecuadas y específicas para preservar la dignidad humana de los interesados así como sus intereses legítimos y sus derechos fundamentales, especialmente a la transparencia del tratamiento, a la transferencia de los datos personales dentro de un grupo empresarial o de una unión de empresas y a los sistemas de supervisión en el lugar de trabajo. Cada Estado Miembro debe notificar a la Comisión estas medidas antes del 25 de Mayo de 2018, y además, cualquiera de las modificaciones posterior de las mismas (art. 88).
La aprobación del Reglamento Europeo de Protección de Datos es una excelente (y muy esperada) noticia.
Es cierto que hay críticas que realizar, como la abundancia en su texto de conceptos jurídicos indeterminados o el que hayan quedado fuera de la regulación expresa aspectos como el Big Data o el Cloud Computing.
E igualmente es cierto que quedan aún cuestiones por aclarar, como la posible colisión del Reglamento con la LOPD en España, el papel que le quedará asignado a la LOPD y otras, que se irán aclarando con el desarrollo y aplicación de la nueva norma.
Pero la unificación y los avances que se realizan en la legislación y su aplicación en la UE, suponen un paso adelante crucial en la seguridad jurídica y en la homogeneización de criterios a la hora de aplicar esta fundamental normativa.
Aunque se dispone aún de un plazo de 2 años hasta la aplicación del Reglamento (recordemos, 25 de Mayo de 2018) recomendamos comenzar ya a ir avanzando en el diseño de la implantación de esta nueva norma, que ha de ser capaz de armonizar y compatibilizar la protección de los derechos de los ciudadanos con la actividad empresarial cotidiana.
ALEDIA ABOGADOS El presente boletín divulgativo contiene información de carácter general, sin que constituya opinión profesional ni asesoramiento jurídico, y se emite bajo la condición de mejor criterio o parecer fundado en Derecho.