Contenido y novedades
Se ha publicado el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
El Reglamento Europeo de Protección de Datos unifica y moderniza la normativa europea sobre protección de datos, permitiendo a los ciudadanos un mejor control de sus datos personales y a las empresas aprovechar al máximo las oportunidades de un mercado único digital, reduciendo la burocracia y beneficiándose de una mayor confianza de los consumidores.
Finalidad del Reglamento
Según su art. 1, este Reglamento establece:
- Las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y
- Las normas relativas a la libre circulación de tales datos.
Ámbito de aplicación Material
Según su art. 2 “El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.”
Y no se aplicará, en particular:
a. Al ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión
b. A la actividad de las autoridades con fines de prevención o investigación de delitos o de protección de la seguridad pública,
c. A las actividades de los Estados miembros comprendidas en el ámbito de aplicación del capítul
d. Ni al tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.
Ámbito de aplicación Territorial
Es importante resaltar que, conforme a su artículo 3 “El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.”
Y, muy especialmente, según el número 2 del mismo artículo, el Reglamento se aplica también al tratamiento de datos personales de residentes en la Unión “por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.”
Es decir, se aplica también al también al tratamiento de datos fuera de la Unión, lo que amplía notablemente su ámbito de aplicación.
Principios rectores
La nueva norma se basa en los siguientes principios:
1. Un continente, una norma; La nueva normativa establece un único conjunto de normas aplicable en el conjunto de la Unión Europea.
2. Ventanilla única; Los empresarios solo tendrán que relacionarse con un único supervisor en Europa, lo que se estima representará un ahorro de 2.300 millones de euros al año.
3. Europa se rige por la normativa europea; Las empresas radicadas fuera de la Unión deberán aplicar las mismas reglas cuando ofrezcan sus servicios en la Unión Europea.
4. Consideración de los riesgos específicos; Las nuevas normas evitarán pesadas obligaciones genéricas sobre el tratamiento de datos, adaptándolas apropiadamente a sus respectivos factores de riesgo.
5. Privacidad desde el diseño; Las nueva regulación garantizará que la salvaguarda de la protección de datos se incorpora a los productos y servicios desde sus primeros estadios de desarrollo. Se fomentarán las técnicas “Privacy-friendly”, como la seudoanonimización, para salvaguardar los beneficios de la innovación en Big Data a la vez que se protege la privacidad.
Este principio de privacidad desde el diseño (art. 25.1), significa que en el diseño de aplicaciones que traten datos personales, se tiene que garantizar la privacidad de los mismos desde el principio. Esto implica, por ejemplo, que en materia de redes sociales, los perfiles de privacidad de los usuarios estarán por defecto cerrados a otros usuarios, debiendo ser el usuario quien los abra a otros.
6. La importancia del consentimiento; El consentimiento para el tratamiento de los datos deberá “libre, específico, informada e inequívoco” y el responsable del tratamiento de los datos deberá poder probar que el titular “consintió el tratamiento de sus datos”. Por tanto, en virtud del principio de responsabilidad, el responsable del tratamiento aplicará las medidas adecuadas para poder demostrar que ese consentimiento se prestó en la forma adecuada.
Nuevos derechos de los ciudadanos
El nuevo Reglamento se refiere ahora a los derechos de Transparencia (art. 12), Información (arts. 13 a 14), Acceso (art. 15), Rectificación (Art. 16), Supresión o derecho al olvido (art. 17), Limitación del tratamiento (art. 18), Portabilidad de datos (art. 20) y Oposición (art. 21).
Estructura
La norma consta de 173 considerandos previos y 99 artículos, agrupados en once capítulos, con la siguiente estructura:
Capítulo I. Disposiciones generales (arts. 1. Objeto, a 4. Definiciones)
Capítulo II. Principios (arts. 5. Principios relativos al tratamiento, a 11. Tratamiento que no requiere identificación)
Capítulo III. Derechos del interesado, divido en 5 secciones; 1.ª Transparencia y modalidades (art. 12. Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado); 2.ª Información y acceso a los datos personales (arts. 13. Información que deberá facilitarse cuando los datos personales se obtengan del interesado, a 15. Derecho de acceso del interesado); 3.ª Rectificación y supresión (arts. 16. Derecho de rectificación, a 20. Derecho a la portabilidad de los datos –incluyendo el importante art. 17. Derecho de supresión («el derecho al olvido»)–; 4.ª Derecho de oposición y decisiones individuales automatizadas (arts. 21. Derecho de oposición, y 22. Decisiones individuales automatizadas, incluida la elaboración de perfiles) y 5.ª Limitaciones (art. 23. Limitaciones).
Capítulo IV. Responsable del tratamiento y encargado del tratamiento, dividido en 5 secciones: 1.ª Obligaciones generales (art. 24. Responsabilidad del responsable del tratamiento; 25. Protección de datos desde el diseño y por defecto; 26. Corresponsables del tratamiento; 27. Representantes de responsables o encargados del tratamiento no establecidos en la Unión; 28. Encargado del tratamiento; 29. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento; 30. Registro de las actividades de tratamiento, y 31. Cooperación con la autoridad de control; 2.ª Seguridad de los datos personales (arts. 32. Seguridad del tratamiento, a 34. Comunicación de una violación de la seguridad de los datos personales al interesado; 3.ª Evaluación de impacto relativa a la protección de datos y consulta previa (arts. 35. Evaluación de impacto relativa a la protección de datos, a 36. Consulta previa); 4.ª Delegado de protección de datos (arts. 37. Designación del delegado de protección de datos, a 39. Funciones del delegado de protección de datos) y 5.ª Códigos de conducta y certificación (arts. 40. Códigos de conducta, a 43. Organismo de certificación)
Capítulo V. Transferencias de datos personales a terceros países u organizaciones internacionales (arts. 44. Principio general de las transferencias, a 50. Cooperación internacional en el ámbito de la protección de datos personales).
Capítulo VI. Autoridades de control independientes, dividido en 2 secciones: 1.ª Independencia (arts. 51. Autoridad de control, a 54. Normas relativas al establecimiento de la autoridad de control) y 2.ª Competencia, funciones y poderes (arts. 55. Competencia, a 59. Informe de actividad)
Capítulo VII. Cooperación y coherencia, dividido en 3 secciones, 1.ª Cooperación y coherencia (arts. 60. Cooperación entre la autoridad de control principal y las demás autoridades de control interesadas, a 62. Operaciones conjuntas de las autoridades de control); 2.ª Coherencia (arts. 63. Mecanismo de coherencia, a 67. Intercambio de información) y 3.ª Comité europeo de protección de datos (arts. 68. Comité Europeo de Protección de Datos, a 76. Confidencialidad)
Capítulo VIII. Recursos, responsabilidad y sanciones (arts. 77. Derecho a presentar una reclamación ante una autoridad de control, a 84. Sanciones)
Capítulo IX. Disposiciones relativas a situaciones específicas de tratamiento (arts. 85. Tratamiento y libertad de expresión y de información, a 91. Normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas)
Capítulo X. Actos delegados y actos de ejecución (arts. 92. Ejercicio de la delegación, y 93. Procedimiento de comité)
Capítulo XI. Disposiciones finales (arts. 94. Derogación de la Directiva 95/46/CE, a 99. Entrada en vigor y aplicación)
Principales novedades que incorpora el Reglamento
Novedades:
1.Principios aplicables al tratamiento de datos (art. 5): Licitud, lealtad y transparencia; recogidos con fines determinados, explícitos y legítimos («limitación de la finalidad»); limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»); exactos y, si fuera necesario, actualizados («exactitud»); mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales («limitación del plazo de conservación»); tratados de tal manera que se garantice una seguridad adecuada de los datos personales («integridad y confidencialidad»); el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).
2. Condiciones para entender válidamente prestado el consentimiento (art. 7)
3. Necesidad de que el responsable del tratamiento pueda probar que se prestó el consentimiento
4. Regulación específica del conocido como Derecho al olvido o, más propiamente, derecho de supresión (art. 17)
5. Principio de portabilidad de los datos (art. 20)
6. Responsabilidad del responsable del tratamiento de los datos por la adopción y actualización de las medidas adecuadas (art. 24)
7. Registro de las actividades de tratamiento (art. 30)
8. Notificación a los interesados de las violaciones de seguridad (art. 33)
9. Evaluación de impacto relativa a la protección de datos (art. 35)
10. Consulta previa a la autoridad de control en caso de identificarse riesgos en el tratamiento (art. 36)
11. Introducción de la figura del Delegado de protección de datos (arts. 37 a 39)
12. Regulación de las transferencias internacionales de datos (arts. 45 y 47)
13. Nuevo criterio para la reclamación de la violación de las obligaciones de protección de datos por parte de una multinacional (arts. 60 a 67)
Entrada en vigor y aplicabilidad
Según su artículo 99, el Reglamento “entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.” Sin embargo, solo será aplicable “a partir del 25 de mayo de 2018”.
Como tal Reglamento de la Unión y según establece su frase final, “será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro”.
Por lo tanto hasta mayo del 2018, y mientras no se apruebe otra legislación local adaptada a este reglamento, los responsables de los ficheros no tienen que empezar a aplicar las medidas contempladas en el mismo. Sin embargo, como indica la Agencia Española de protección de datos, puede ser útil para las organizaciones que tratan datos, empezar ya a valorar la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España.
Por ejemplo, las organizaciones deben tener en cuenta que a partir de mayo de 2018 deberán realizar análisis de riesgo de sus tratamientos y que puede ser útil para ellas empezar desde ahora a identificar el tipo de tratamientos que realizan, el grado de complejidad del análisis que deberán llevar a cabo, etc. En esta tarea podrían utilizar las herramientas y recursos que paulatinamente vayan desarrollando las Autoridades de protección de datos.
Igualmente, nada impide que las organizaciones comiencen a planificar o a establecer el registro de tratamientos de datos o a implantar las evaluaciones de impacto o cualquiera otra de las medidas previstas.
Del mismo modo, las organizaciones podrían comenzar a diseñar e implantar los procedimientos para notificar adecuadamente a las Autoridades de protección de datos o a los interesados las quiebras de seguridad que pudieran producirse.
En general, las organizaciones que tratan datos personales deberían comenzar a preparar la aplicación de estas medidas, así como de otras modificaciones prácticas derivadas del Reglamento. Por ejemplo, el Reglamento exige que los responsables de tratamiento faciliten a los interesados el ejercicio de sus derechos. Aunque la interpretación de “facilitar” pueda variar dependiendo de los casos, incluye en todos ellos algún tipo de actuación positiva por parte de los responsables para hacer más accesibles y sencillas las vías para el ejercicio de derechos.
La ventaja de una pronta aplicación es que permitirá detectar dificultades, insuficiencias o errores en una etapa en que estas medidas no son obligatorias y, en consecuencia, su corrección o eficacia no estarían sometidas a supervisión. Ello permitiría corregir errores para el momento en que el Reglamento sea de aplicación.
