NUEVO REGLAMENTO DE LA UE DE PROTECCIÓN DE DATOS

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

	Tras cuatro años de enconados debates, el pasado catorce de abril fue aprobado en el Parlamento Europeo el tan esperado Reglamento Europeo sobre Protección de Datos que viene a sustituir a la Directiva del 95 y a crear un marco uniforme en la Unión Europea sobre esta materia, publicado en el Diario oficial de la UE el pasado 27 de abril, siendo su entrada en vigor 20 días después de su publicación. Sus disposiciones serán de aplicación directa en todos los Estados miembros dos años después, exactamente el 25 de mayo de 2018 (art. 99). A pesar de que es una única norma para toda la Unión Europea, de aplicación inmediata una vez ha entrado en vigor, debe ser interpretada a nivel nacional, por lo que se tiene que adaptar nuestra legislación al nuevo Reglamento Europeo de Protección de Datos.   Su intención es la de dar más control a los interesados sobre su información privada, tanto en redes sociales, Smartphone, banca online, etc., de  forma que puedan decidir qué información quieren compartir.   Según ha comunicado el Parlamento Europeo, el nuevo Reglamento de Protección de Datos tiene como objetivo “dar más control a los ciudadanos sobre su información privada”, por lo que las nuevas reglas incluyen: la necesidad de un “consentimiento claro y afirmativo” de la persona concernida al tratamiento de sus datos personales, la “portabilidad” o el derecho a trasladar los datos a otro proveedor de servicios, el derecho a ser informado si los datos personales han sido pirateados, un lenguaje claro y comprensible sobre las cláusulas de privacidad, y la posibilidad de ejercer el mencionado derecho al “olvido”, mediante la rectificación o supresión de datos personales en internet.   Las novedades más significativas son:   Evaluación de Impacto relativa a la protección de datos. Se trata de cuál es el efecto en la privacidad del individuo de ciertos desarrollos tecnológicos. Es un análisis de riesgos. La AEPD ya se pronunció sobre éste asunto, creando una guía. A través de ésta evaluación se consigue la protección de datos desde el diseño y por defecto. Ventanilla única (One Stop Shop) a través de la cual las empresas españolas con sedes en otros Estados Miembros, podrán tratar con, en nuestro caso, la AEPD o con la del Estado Miembro donde se encuentre su matriz. Elaboración de perfiles para evaluar determinados aspectos personales de una persona física. Seudonimización que consiste en el tratamiento de datos personales de forma que no puedan atribuirse a una persona física identificada o identificable. Con relación a los derechos de Acceso, Rectificación, Cancelación y Oposición (derechos ARCO) se introduce como novedad la facultad del interesado de ejercitar tres nuevos derechos: a.       el derecho a la supresión o más comúnmente conocido por Derecho al Olvido, b.       el derecho a la limitación de tratamiento de los datos y; c.       el derecho a la portabilidad de los datos de un proveedor de servicios a otro. Multas de hasta 20 millones de euros o el 4% de su facturación global (optándose por la mayor cuantía) Licitud del consentimiento. El consentimiento queda como un acto afirmativo claro. Delegado de Protección de Datos, en relación a la obligación de informar a los interesados cuando se recojan sus datos, estos tendrán que conocer, a diferencia de la regulación anterior, los datos de contacto del Delegado de Protección de Datos de la empresa, más conocido como DPO. Siendo obligatorio para la Administración y para empresas que cumplan una serie de requisitos, fundamentalmente, que realicen una monitorización periódica y sistemática de datos a gran escala (estudios de solvencia, mercados, riesgos…) o gestionen datos de categorías especiales (datos considerados sensibles o de nivel alto). Notificar una violación de seguridad en 72 horas al órgano de control, o si es de alto riesgo al interesado. Datos genéticos (datos que proporcionen información sobre la fisiología o la salud de personas obtenidos por análisis de muestras biológicas) / Datos biométricos (datos que permiten la identificación única de personas, como imágenes faciales o datos dactiloscópicos). Responsabilidad proactiva. Las empresas deben de adoptar medidas para demostrar que se está cumpliendo con el Reglamento, es decir, los responsables tienen que demostrar la carga de la prueba. Esto da lugar a un capítulo entero de medidas y obligaciones prácticas, que será la parte que más contribuya a proteger los datos. Transparencia de la información. Las políticas de privacidad deberán cambiar para adaptarse a lo que exige el Reglamento. Protección de datos desde el diseño y por defecto.   Que el Reglamento conceda un plazo de dos años para la adecuación de los tratamientos no debe llevarnos a una postura de relajación porque, las exigencias de seguridad y garantía de control de sus datos por los interesados y las elevadas sanciones, llegando hasta veinte millones de euros o, tratándose de una empresa, de una cuantía equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía,  recomiendan que se vayan tomando posiciones preventivas y de acercamiento al cumplimiento responsable de la normativa sobre protección de datos.   Desde esta consultoría nos gustaría mandar un mensaje de tranquilidad a nuestros clientes y asesorados, respecto a las implicaciones y acciones a acometer. Lo que está claro es que debemos seguir cumpliendo con la Ley como hasta ahora e ir preparándonos e implantando, paulatinamente, los correspondientes cambios.   Para mas información en:   info@lluchconsulting.es