Aprobado el Nuevo Reglamento Europeo de Protección de Datos
Nuevo Reglamento Europeo de Protección de Datos
El pasado 14 de abril el Parlamento Europeo aprobó finalmente el Reglamento General de Protección de Datos (RGPD), una nueva normativa común para los Estados Miembros que viene a actualizar el marco legal que rige el tratamiento de datos personales que se mantenía casi intacto desde el año 1995. Este Reglamento entrará en vigor el 25 de mayo y tendremos dos años para adaptarnos, hasta mayo de 2018.
Esto viene a corregir una situación no prevista en el año 1995 (fecha de la actual Directiva de protección de datos) en la que, ante el surgimiento de los grandes gigantes de Internet desde empresas ubicadas en Estados Unidos, los datos personales de los ciudadanos europeos se podían ver desprotegidos o al menos no con las mismas garantías que si los tratase una empresa europea, dado que no era exigible, con carácter general, la aplicación de las mismas garantías y derechos.
Algunas novedades del nuevo Reglamento:
- Igualar todas las normativas en protección de datos de todos los países de la Unión Europea (Ventanilla única). Esto agilizará todos los trámites (sean por parte de personas o empresas) entre países, en relación con datos personales, y reducirá la burocracia.
- Inclusión del derecho a la portabilidadde datos de una empresa a otra y del derecho al olvido, que permite rectificar o suprimir sus datos personales. Tendremos un mayor control sobre nuestros datos personales.
- No será necesaria una autorización previa para exportar datos a otros países, siempre que se respeten las cláusulas aprobadas por la Comisión Europea.
- Se prevé la creación de un Sello Europeo de Protección de Datos.
¿Qué implicaciones tendrá para las empresas?
- Notificaciones de brechas de seguridad. Las empresas tendrán la obligación de informar a la Agencia Española de Protección de Datos las brechas de seguridad que pongan en peligro datos personales, en un plazo de 72 horas. Las empresas también deberán notificarlo a los afectados si dichas brechas ponen en riesgo los derechos de los usuarios.
- Incremento de la cuantía las sanciones:de hasta 20 millones de euros o el 4% del volumen de negocio total anual del ejercicio financiero anterior.
- Creación de la figura del Delegado de Protección de Datos(DPO – Data Protection Officer) para que las empresas, entidades y profesionales traten bien datos personales y prevenir las sanciones.
- Obligación de realizar Análisis de Riesgos y Evaluaciones de Impacto para determinar el cumplimiento normativo, lo que obligará a documentar las operaciones de tratamiento de datos personales que se realicen.
Están obligados a notificar la creación, modificación o supresión de ficheros para su inscripción en el RGPD aquellas personas físicas o jurídicas, de naturaleza pública o privada, u órgano administrativo, que procedan a la creación de ficheros que contengan datos de carácter personal.
A esta nueva normativa deben adaptarse todas las empresas, administraciones, entidades y autónomos que realicen un tratamiento de datos de ciudadanos europeos, sin importar si su sede está dentro o fuera de la Unión Europea. La inscripción del fichero en el RGPD es previa a su creación. Las empresas disponen de un plazo de dos años para adaptarse al RGPD, a partir de entonces sus disposiciones serán de aplicación directa en España.
El RGPD representa un nuevo paradigma, por la amplitud y la profundidad de los cambios que supone, en materia de protección de datos. En definitiva, para garantizar el cumplimiento de esta nueva normativa las empresas deberán actualizar y, en muchos casos, elaborar políticas, procedimientos internos y procesos de gestión, incluida la formación de sus empleados, para adecuarse a los cambios que introducirá́ el nuevo RGPD