El Reglamento comunitario nº 2016/679 de 27 de abril de 2016, publicado el 4 de mayo, es la norma de mayor relevancia que se ha adoptado en los últimos años en el ámbito de la protección de datos y la privacidad. Su principal objetivo es la aplicación uniforme y coherente del derecho de protección de datos en el territorio de la Unión Europea y unificará en gran medida el marco legal que actualmente aplica en este ámbito.
Resulta aplicable a desde el pasado 25 de mayo de 2018, por lo que las empresas que todavía no se hayan adaptado, deben hacerlo lo antes posible para cumplir la normativa y evitar sanciones.
Por otro lado, el 5 de diciembre entró en vigor la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) que tiene como finalidad última la introducción en el ordenamiento jurídico interno del RGPD, y contiene sustanciales novedades, algunas de ellas vía modificación de otras normas, que conviene tener en consideración desde el primer momento, máxime a la vista de que su entrada en vigor se produce al día siguiente de su publicación en el BOE es decir, el 7 de diciembre.
Entre las principales novedades, destacaríamos:
Nuevo sistema de recogida de datos
Las cláusulas informativas y políticas de privacidad deberán adaptarse a un nuevo conjunto de deberes informativos (incluyendo nuevos parámetros como, por ejemplo, los datos de contacto del delegado de protección de datos, el plazo de conservación de los datos, el derecho a presentar reclamación ante la autoridad de control competente, etc.).
Ampliación de los derechos de los interesados
El Reglamento recoge los tradicionales derechos de acceso, rectificación, cancelación (incluido el derecho al olvido) y oposición, y además –en aras a asegurar una óptima protección a los interesados- incorpora nuevos derechos, tales como los derechos a la limitación del tratamiento y el derecho a la portabilidad de los datos.
Nuevo régimen sancionador
La LOPDGDD mantiene la tipificación de las sanciones y las divide en:
Muy graves:
Las que supongan una vulneración sustancial del tratamiento y tengan que ver con el uso de los datos para una finalidad diferente de la anunciada, la omisión del deber de informar al afectado, la exigencia de un pago para poder acceder a los datos propios almacenados, transferencia internacional de información sin garantías…
Graves:
Las que supongan una vulneración sustancial del tratamiento y tengan que ver con datos de un menor recabados sin consentimiento, falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos o, por ejemplo, el incumplimiento de la obligación de nombrar responsable o encargado de tratamiento de datos.
Leves:
Las restantes que no queden contempladas en los grupos anteriores.
Prescribirán al año y se refieren a casos como la no transparencia de la información, el incumplimiento de no informar al afectado cuando lo haya solicitado o, por ejemplo, el incumplimiento por parte del encargado de sus obligaciones.
Nuevas obligaciones organizativas para los responsables
Las entidades que traten datos personales deberán cumplir con nuevos deberes organizativos, entre los que cabe destacar los siguientes:
Designación de un Data Protection Officer (Delegado de Protección de Datos), que centralizará la gestión de la protección de datos y podrá formar parte de la plantilla o desempeñar sus funciones en el marco de un contrato de servicios.
Registro de las actividades de tratamiento, que sistematizará las actividades vinculadas al tratamiento de datos y que estará a disposición de las autoridades competentes en caso de que lo soliciten.
Notificación de violaciones de la seguridad de los datos, que deberán realizarse ante las autoridades competentes, como norma general en el plazo máximo de 72 horas desde que se produzca la contingencia.
Transferencias internacionales de datos. Entre otros supuestos, la autorización de la Agencia Española de Protección de Datos dejará de ser necesaria para transferir datos a terceros países cuando se usen las cláusulas contractuales tipo adoptadas por la Comisión Europea o una autoridad de control, o normas corporativas vinculantes.
Autoridades competentes
La autoridad de control principal que resultará competente será la del lugar donde el responsable cuente con su establecimiento principal. En caso de grupos de empresa radicadas en la Unión Europea, será la que se corresponda con su sede central de operaciones.
Nuevo régimen sancionador
Una de las principales novedades del Reglamento es el endurecimiento de las sanciones en caso de incumplimiento, pudiéndose imponer multas de hasta 20 millones de euros o de hasta el 4% del volumen de negocios a nivel mundial del infractor.