Alcalde Canuto Berea, 2 - 2º Izq. 15003, A Coruña
+34 881 940 547
info@grupoMGabogados.com

NUEVO REGLAMENTO EUROPEO PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

NUEVO REGLAMENTO EUROPEO PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
By GMGabogados consumidores Noticias PROTECCIÓN DATOS PERSONALES abril 24, 2018

 

 

Como ya imagino que todos sabeís, el 25 de mayo del año en curso entra en vigor el nuevo reglamento Europeo de la Protección de datos de carácter personal, que introduce importantes novedades para los estados miembro. Por ello, la mayoría de los españoles estamos viendo nuevos permisos de políticas de privacidad en los medios telemáticos, redes sociales, buscadores……etc.

 

La necesidad de que los Estados miembro nos adaptemos a la nueva normativa, de carácter obligatorio, implica que el legislador español está realizando un proyecto de ley interna, con no pocas discordias en la fase de tramitación, dado que ha recibido más de 30 enmiendas……por ello, a continuación, expongo alguna de las principales novedades a tener en cuenta:

  1. En cuanto a las empresas que deben cumplir el Reglamento, se amplía el ámbito de aplicación a aquellas empresas no establecidas en la Unión Europea que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión Europea o como consecuencia de una monitorización y seguimiento de su comportamiento.
  2. Se refuerza la exigencia de consentimiento, mediante una declaración o una acción positiva no pudiendo deducirse del silencio o de la inacción, estableciendo la obligación de disponer de sistemas de registro del consentimiento. Además se introduce la exigencia del consentimiento para la oferta directa a niños de servicios de la sociedad de la información (internet), que será válido para mayores de 14 años, mientras que para menores de 14 años se necesitará el consentimiento del padre o tutor.
  3. A los ya considerados como datos especialmente protegidos (ideología, religión, afiliación sindical, creencias, salud, origen racial y vida sexual) se añaden los datos genéticos y biométricos dirigidos a identificar de manera inequívoca a una persona.
  4. Se refuerza el derecho de transparencia, obligando a suministrar más información con carácter previo a la recogida de sus datos y el derecho al olvido para pedir que los datos personales sean suprimidos en determinadas circunstancias.
  5. Se introducen nuevos supuestos para la cancelación (bloqueo) de los datos.
  6. Se introduce el derecho a la portabilidad de los datos para solicitar a un responsable que los esté tratando de modo automatizado bien la recuperación de esos datos en un formato que permita su traslado a otro responsable o bien la transferencia de los datos directamente al nuevo responsable cuando sea técnicamente posible.
  7. Se establece la protección de datos desde el diseño, mediante la aplicación de medidas apropiadas al determinar los medios de tratamiento y en el momento mismo del tratamiento y la protección por defecto para que los datos personales no sean accesibles sin la intervención de la persona a un número indeterminado de personas físicas.
  8. Se establece la obligación de mantener un registro de ficheros y tratamientos por encargo de terceros en empresas con más de 250 trabajadores, en tratamientos de datos que entrañen riesgo para derechos y libertades, en tratamiento de datos  especialmente protegido o en tratamientos de datos relativos a condenas e infracciones penales.
  9. Se introduce la obligación de notificación a la Agencia Española de Protección de Datos y al interesado aquellas brechas de seguridad que se produzcan y que supongan riesgo de daños y perjuicios físicos, materiales o inmateriales para las personas físicas.
  10. Se impone la obligación de realizar evaluaciones de impacto en protección de datos (EIPD), siempre que sea probable que las operaciones de tratamiento, especialmente cuando se utilicen nuevas tecnologías, entrañen un alto riesgo para los derechos y libertades de las personas físicas. La Agencia Española de Protección de Datos publicará listas de los tipos de operaciones de tratamiento que requieran una evaluación de impacto.También se impone la obligación de nombrar un delegado de protección de datos cuando  los tratamientos que lleven a cabo por autoridades y organismos públicos (excepto los  tribunales), cuando las actividades principales requieran observación habitual y sistemática de interesados a gran escala o cuando consistan en el tratamiento a gran escala de datos especialmente protegidos o relativos a condenas e infracciones penales.
  11. Se insta a asociaciones u otros organismos que representen a categorías de responsables o encargados en determinados sectores a que elaboren códigos de conducta para facilitar la aplicación del Reglamento a las microempresas y las pequeñas y medianas empresas. Se fomenta el establecimiento de mecanismos de certificación y sellos y marcas de protección de datos que permitan evaluar el nivel de protección de datos de los productos y servicios y demostrar el cumplimiento del Reglamento.
  12. Se revisa el régimen de transferencias internacionales de datos que se estructura en transferencias basadas en decisión de adecuación por la Comisión Europea, en ofrecimiento de garantías adecuadas mediante instrumentos jurídicamente vinculantes o en la elaboración de normas corporativas vinculantes.
  13. Se establece un sistema de ventanilla única para que los responsables establecidos en varios Estados miembros de la Unión Europea o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la Unión Europea  tengan una única Autoridad de protección de datos como interlocutora.
  14. Se crea el Comité Europeo de Protección de Datos que sustituye al Grupo de trabajo del artículo 29 de la Directiva 95/46/CE
  15. Se prevén poderes para sancionar con una advertencia, apercibimiento, solicitud de atención de ejercicio de derechos, limitaciones del tratamiento, y multas administrativas para las que se contempla un importante aumento de las cuantías que pueden llegar hasta los 20.000.000 o un 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Se prevé que para el 25 de mayo de 2018 los Estados miembros comuniquen a la Comisión otras sanciones efectivas, proporcionadas y disuasorias que decidan aplicar para las infracciones que no estén sancionadas con multas administrativas en el Reglamento.

Pasos a seguir para la adaptación al nuevo Reglamento

Como vemos son muchas y muy importantes las novedades que nos trae este Reglamento, por lo que no debemos esperar hasta el último momento y comenzar ya con su paulatina incorporación siempre y cuando no sean contradictorias con la normativa que sigue vigente hasta mayo de 2.018, pero actuando con prudencia mediante un seguimiento puntual de las leyes y normas que a nivel nacional se vayan publicando para desarrollar y permitir la aplicación del Reglamento.

Para más información puede consultar la nota informativa de la Agencia Española de Protección de Datos.

 

FUENTE: ISABEL MONTES GRELA. GMG ABOGADOS.