Tras años de espera, finalmente se ha aprobado el nuevo marco jurídico en materia de protección de datos para toda la Unión Europea (RGPD).
El Reglamento Europeo es el mayor desarrollo legislativo en materia de privacidad desde 1995 debido a que sustituye de facto a la anterior Directiva 95/46/CE que fue traspuesta a nuestro ordenamiento jurídico por la vigente Ley Orgánica de Protección de Datos (LOPD) de 1.999.
¿Qué implicaciones tendrá para las empresas?
El RGPD representa un nuevo paradigma, por la amplitud y la profundidad de los cambios que supone, en materia de protección de datos. Sus principales características son su efecto directo (no necesita de ley nacional para su aplicación directa en España), la transformación de la responsabilidad de quien trata los datos, bien del responsable o de quien los procesa en su interés, el fortalecimiento y desarrollo de nuevos derechos de los afectados y, en general, el establecimiento de nuevas obligaciones, así como atribuciones a las autoridades de control nacionales –nuestra AEPD- con el fin de ofrecer una mayor seguridad jurídica y contribuir al desarrollo del Mercado Único Digital europeo.
Principales novedades:
- Endurecimiento del régimen sancionador; que prevé la imposición de sanciones de hasta 20 millones de euros o el 4% de la facturación anual del anterior ejercicio fiscal, según sea el importe más elevado.
- Privacidad desde el diseño y por defecto; que obligará a implementar políticas y medidas que les permitan acreditar el cumplimiento del marco legislativo desde el momento en el que se diseña un nuevo producto o servicio -especialmente, los digitales- que implique un tratamiento de datos. De esta forma, las empresas que realicen este ejercicio previo obtendrán una ventaja competitiva sostenible, al poder identificar y mitigar a priori los posibles riesgos ligados a la implementación de determinados servicios o productos, lo que puede suponer una reducción de elevados costes.
- Designación del Delegado de Protección de Datos; siempre que concurran los requisitos establecidos en el Reglamento. Se admite la externalización de esta figura.
- Notificación de una violación de la seguridad de los datos personales; a la autoridad nacional de control y, en algunos supuestos, a los propios interesados.
- Evaluación de Impacto; que obligará a documentar las operaciones de tratamiento de datos personales que se realicen.
- Obtener el consentimiento expreso de los afectados y utilizar un lenguaje claro que permita conocer fácilmente las finalidades del tratamiento.
En definitiva, para garantizar el cumplimiento de esta nueva normativa las empresas deberán actualizar y, en muchos casos, elaborar políticas, procedimientos internos y procesos de gestión, incluida la formación de sus empleados, para adecuarse a los cambios que introducirá el nuevo RGPD.
¿Quiénes están obligados a notificar la creación, modificación o supresión de ficheros al RGPD?
Están obligados a notificar la creación, modificación o supresión de ficheros para su inscripción en el RGPD, de acuerdo a lo dispuesto en la LOPD, aquellas personas físicas o jurídicas, de naturaleza pública o privada, u órgano administrativo, que procedan a la creación de ficheros que contengan datos de carácter personal.
Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos. El RGPD inscribirá el fichero si la notificación se ajusta a los requisitos exigibles.
La inscripción del fichero en el RGPD es previa a su creación.
Los ficheros manuales (no automatizados), creados con posterioridad a la fecha de entrada en vigor de la LOPD (14 de enero de 2000), deberán ser notificados para su inscripción en el RGPD.
Sin embargo, los ficheros manuales que ya existieran antes de la entrada en vigor de la LOPD, no será necesaria la notificación para su inscripción hasta octubre de 2007, de conformidad con lo establecido en el último párrafo de la Disposición Adicional Primera.
¿Cuál es el plazo para adecuarse a esta nueva normativa?
Las empresas disponen de un plazo de dos años para adaptarse al RGPD, a partir de entonces sus disposiciones serán de aplicación directa en España.