Principales novedades del nuevo Reglamento Europeo en materia de Protección de Datos

Ayer, 14 de abril, se aprobó por el pleno del Parlamento Europeo el nuevo Reglamento de Protección de Datos. El nuevo Reglamento establece el marco normativo para el conjunto de Europa así como las relaciones con terceros. Todo ello con el objetivo principal de lograr una armonización y unidad de criterio en la aplicación y garantía de los derechos en materia de privacidad y protección de datos así como garantizar unos estándares comunes adaptados al entorno digital.

Los principales cambios que introduce el mismo son los siguientes:

  • Se suprime la necesidad de Inscripción de ficheros ante las Autoridades Nacionales de Protección de Datos. No obstante, tanto el responsable como el encargado de tratamiento deberán mantener un registro, por escrito, de los tratamientos que realicen.
  • En cuanto al Establecimiento principal del responsable se entenderá el lugar de su administración central en la UE con la excepción de que si los fines y medios del tratamiento se hacen en otro Estado, ese se determine como el establecimiento principal.
  • Se refuerza la necesidad de probar y evidenciar el cumplimiento del Reglamento por parte del Responsable del tratamiento a través de la adopción e implementación de políticas y medidas.
  • En cuanto al consentimiento del interesado es necesario que éste se preste mediante acto afirmativo y claro, que refleje una manifestación de la voluntad libre, específica, informada e inequívoca del interesado. En cuanto a los menores de edad, se establece una horquilla de edad entre los 13 y 16 años para prestar el consentimiento de forma válida.
  • En referencia a la obligación de información a facilitar al interesado en el momento de la recogida se añade la información de los datos de contacto del DPO, del plazo de conservación y del Derecho a presentar denuncia ante una Autoridad de Control.
  • En relación al tratamiento de datos personales relativos a condenas e infracciones penales queda restringido a las Autoridades Públicas.
  • No hay novedades acerca de los Derechos ARCO, sin embargo, se incorporan nuevos derechos: el derecho de supresión (relacionado con el Derecho al Olvido), el Derecho a limitación de los datos y el Derecho a la portabilidad de los datos.
  • Se introduce el concepto “Privacy by Design” consistente en la protección de datos desde el diseño y por defecto, en cualquier nuevo proyecto, que deba afrontar una empresa. Asimismo, se establecen dos nuevas obligaciones: realizar evaluaciones del impacto cuando del tratamiento sea probable que resulte un alto riesgo y la consulta previa, a la Autoridad de Control, cuando se realice una evaluación del impacto.
  • Sobre las medidas de seguridad únicamente establece que se deberán aplicar las medias técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo.
  • Se establece la obligación de notificar, en el plazo de 72 horas, cualquier violación de seguridad de los datos ante la Autoridad de Control y, en ciertos casos, al interesado.
  • El Reglamento introduce la figura del DPO (Data Protection Officer) en tratamientos a gran escala.
  • Se introducen dos nuevos documentos: el código de conducta y las certificaciones que ayudarán a garantizar el nivel adecuado a los sujetos que no les aplica el Reglamento. Se crea, un nuevo sello Europeo de Protección de Datos.
  • En lo relativo a las transferencias internaciones, se distinguen 4 escenarios: 1º lista de países que garantizan un nivel de seguridad adecuado, 2º las autorizaciones otorgadas con anterioridad a la entrada en vigor del Reglamento seguirán siendo válidas hasta que sean derogadas, modificadas o sustituidas por la Autoridad de Control o la Comisión. El 3º serán las transferencias dictadas por órganos jurisdiccionales y 4º se mantiene el criterio de excepciones reguladas en la anterior Directiva.
  • En este sentido, se obliga a designar un representante a los responsables que no estén establecidos en la UE, cuando el tratamiento esté relacionado con la oferta de bienes y servicios o la monitorización de comportamientos.
  • Las Autoridades de Control, deberán cooperar, prestarse asistencia mutua y establecer mecanismos de coherencia para la aplicación del Reglamento.
  • Se establecen sanciones de 10 millones o hasta el 2% del volumen de negocio del ejercicio anterior y 20 millones o hasta el 4% del volumen de negocio del ejercicio anterior.