Hoy empieza a aplicarse el Reglamento General de Protección de Datos (RGPD) en Europa y, por lo tanto, en España.
Para entender qué es y cómo puede afectarnos, recomendamos encarecidamente el artículo «Entrada en aplicación en toda Europa del Reglamento General de Protección de Datos«, de Efrén Díaz (Bufete Mas y Calvet), publicado en Expansión, que reproducimos a continuación:
Entrada en aplicación en toda Europa del Reglamento General de Protección de Datos
A partir de hoy Europa será legal y digitalmente diferente. Este 25 de mayo de 2018, el Reglamento General de Protección de Datos entra en plena aplicación en todos los Estados miembros de la Unión Europea. Es el final de trayecto de un largo y complejo proceso legislativo iniciado en 2012 a propuesta de la Comisión Europea para la regulación de la privacidad en toda la Unión Europea de forma armonizada. Es el comienzo de una etapa histórica en el procesamiento de los datos personales de los ciudadanos europeos, cuyos derechos y libertades públicas se pretende garantizar en el entorno digital.
Tras dos años de vigencia, hoy entra en plena aplicación el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD). De conformidad con su artículo 99, el Reglamento será aplicable a partir del 25 de mayo de 2018 y será obligatorio en todos sus elementos y, lo que resulta más importante, será directamente aplicable en cada Estado miembro.
Durante estos dos años, cada Estado y las empresas y Administraciones públicas han podido realizar las modificaciones y ajustes necesarios para garantizar su cumplimiento en las actividades y operaciones de tratamiento de datos de carácter personal para su debida protección y libre circulación.
Ante una norma europea de tanta importancia, admirada ya por muchos países de nuestro entorno cultural y tecnológico, también desde la otra orilla del Atlántico, que la toman como referencia jurídica y estándar adecuado de medidas de seguridad para la protección de los ciudadanos, conviene destacar su contenido vinculante más significativo y sus principales obligaciones jurídicas.
El RGPD se aplicará a todo tratamiento de datos personales, total o parcialmente automatizado o no automatizado, contenidos o destinados a ser incluidos en un fichero. Por tanto, la perspectiva legal ya no será «estática», sino principalmente «dinámica», al atenderse más a los flujos de los datos personales que merecen protección que sólo a los ficheros que los contengan.
Los principios relativos al tratamiento son regulados con detalle, con el fin de asegurar, entre otros aspectos, que los datos personales de los europeos sean tratados de manera lícita, leal y transparente (principios de licitud, lealtad y transparencia); recogidos con fines determinados, explícitos y legítimos, y no sean tratados ulteriormente de manera incompatible con dichos fines (principio de limitación de la finalidad); y además resulten adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (principio de minimización de datos).
Asimismo, los derechos del interesado han merecido una regulación específica para los ya conocidos derechos de acceso, rectificación, cancelación y oposición, además del derecho a la limitación del tratamiento (art. 18), y se han regulado dos nuevos e importantes derechos para el entorno tecnológico actual y futuro: el derecho de supresión, denominado también derecho al olvido (art. 17) y el derecho a la portabilidad de los datos (art. 20), el cual permitirá a cada interesado recibir los datos personales que le incumban y que haya facilitado previamente a una compañía como responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otra compañía o entidad.
El RGPD define también el estatuto jurídico que corresponde al responsable del tratamiento (quien, solo o junto con otros, determina los fines y medios del tratamiento) y al encargado del tratamiento (quien procese datos personales por cuenta del responsable del tratamiento). No sólo se regulan los supuestos de corresponsables del tratamiento sino que, como hizo la anterior Directiva de 1995, se reitera la obligación de formalizar un contrato que establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y las categorías de interesados, así como las obligaciones y derechos del responsable y del encargado del tratamiento.Asimismo, este relevante Reglamento europeo ha recogido y apostado por los principios de protección de datos desde el diseño y por defecto (art. 25). Esto es, la adopción de medidas técnicas y organizativas apropiadas tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, con el fin de garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.
Entre las principales obligaciones que recoge el Reglamento destaca, por orden de aplicación en la práctica, la necesidad de realizar en ciertos supuestos ¬-más de los que parece- la evaluación de impacto relativa a la protección de datos (art. 35), el establecimiento del Registro de las actividades de tratamiento (art. 30) y la designación del delegado de protección de datos (art. 37 y ss.).
Como novedad práctica muy significativa, el RGPD impone la obligación para las empresas y administraciones de designar en ciertos casos a un delegado de protección de datos (DPO, Data Protection Officer) con el fin de garantizar el cumplimiento de la normativa ahora en vigor. El DPO deberá ser designado en atención a sus cualidades profesionales y conocimientos normativos y prácticos especializados debidamente acreditados.
La importancia del RGPD también se advierte en el importe de las cuantías de las sanciones: se elevan sustancialmente y pueden alcanzar hasta 20.000.000 o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
La entrada en aplicación del reglamento supone la efectiva derogación de la Directiva 95/46/CE (art. 99.1 RGPD), vigente precisamente hasta el día de hoy, 25 de mayo de 2018, para permitir la plena adecuación de Estados, Administraciones públicas y empresas al RGPD. En consecuencia, toda referencia a la Directiva derogada se entenderá hecha al Reglamento, tal y como dispone expresamente el art. 99.2 RGPD.
Como el efecto normativo del RGPD es el desplazamiento de las respectivas leyes nacionales de protección de datos, pues sólo pueden ser derogadas por los Parlamentos de cada Estado miembro, en España, el pasado 10 de noviembre de 2017 el Gobierno aprobó el proyecto de la nueva Ley Orgánica de Protección de Datos, que sigue su curso en el Parlamento y será la norma que adapte el RGPD al ordenamiento jurídico español.
Desde hoy comenzamos el período de aplicación del nuevo marco normativo de la privacidad en Europa, que interesa especialmente a ciudadanos y empresas.
Fuente: Expansión