El Diario Oficial de la Unión Europea ha publicado el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a su libre circulación. Con la publicación y aprobación del Reglamento se deroga la Directiva 95/46/CE por la que se regían las normativas en materia de protección de datos en los estados miembros de la Unión Europea incorporando un marco uniforme para todos ellos.

De manera paralela al R(UE) 2016/679 se ha publicado también la Directiva (UE) 2016/680destinada a un ámbito policial y judicial que pretende asegurar que los datos de las víctimas, testigos y sospechosos de la comisión de delitos se encuentren protegidos.

Ambos componen el nuevo marco europeo de protección de datos estableciendo mayores garantías en el tratamiento de datos de carácter personal y que refuerza notablemente el control de los individuos en su papel de titulares de los datos.

PRINCIPALES NOVEDADES

Se refuerza un principio tan básico como el de la transparencia en el uso y tratamiento de los datos personales dando un papel más proactivo al usuario. De esta forma, el responsable deberá informar al interesado sobre el plazo durante el cual conservará sus datos personales o los criterios utilizados para determinar dicho plazo.

El tratamiento de los datos de los interesados tan solo podrá darse cuando el consentimiento sea «libre, específico, informado e inequívoco» debiendo ser «acreditable» por parte del responsable del fichero (art. 4).

Con motivo de facultar a los usuarios de unos derechos acordes a los tipos de tratamientos actuales, el Reglamento deja «obsoletos» los conocidos derechos ARCOpara introducir los derechos de transparencia, información, acceso, rectificación, supresión/derecho al olvido, limitación, portabilidad y oposición.

En cuanto al ámbito de aplicación territorial cobra especial relevancia el hecho de que la normativa se aplicará «al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no«. El Reglamento también se aplicará al tratamiento de datos de residentes dentro de la Unión Europea «por parte de un responsable o encargado no establecido en la Unión». Por tanto, se amplía el ámbito de actuación siendo aplicable al tratamiento de datos fuera del territorio de la UE.

A través del artículo 25, se introducen conceptos como la protección de datos desde el diseño y por defecto (PxD y PdD). La normativa promoverá y obligará a que la protección de datos sea incorporada a los productos y/o servicios desde su diseño.

Por otra parte, en los casos en los que exista cierta probabilidad de que el tratamiento que se realiza pueda suponer un alto riesgo de los derechos de los usuarios, será el responsable quien deba realizar una evaluación de impacto en materia de protección de datos evaluando el origen, naturaleza, particularidad y gravedad de cada riesgo.

Sin embargo, en aquellos casos en donde se presenten violaciones de seguridad que supongan una alteración accidental o ilícita de los datos, el Reglamento establece la obligación de notificar dichas brechas ante la autoridad de control competente en un plazo no superior a las 72 horas que, en algunos casos, deberá ser extensible al interesado.

Otra figura de la que se ha hablado a lo largo de los últimos meses ha sido la del Delegado de Protección de Datos que deberá ser designado obligatoriamente cuando el tratamiento lo lleve a cabo una autoridad u organismo público, cuando las actividades principales del responsable o encargado consistan en operaciones de tratamiento que requieran de una observación habitual y sistemática de los interesados a gran escala o cuando las actividades consistan en el tratamiento a gran escala de datos «especialmente protegidos» (art. 9).

Este delegado podrá formar parte de la plantilla del propio responsable o del encargado del tratamiento o podrá ser contratado por sus servicios de manera externa.

En caso de incumplimiento de la normativa las sanciones podrán alcanzar los 20 millones de euros o, en el caso de las empresas, la cuantía equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior.

Todavía se desconoce cómo afectará la normativa a la actual Ley Orgánica de Protección de Datos, ya que el Reglamento establece que las distintas legislaciones de los estados miembros podrán continuar siendo aplicables en todo aquello que no esté establecido por la normativa europea.

ENTRADA EN VIGOR

El Reglamento entrará en vigor 20 días después de su publicación en el Diario Oficial de la Unión Europea y será aplicable el 25 de mayo de 2018 siendo obligatorio en todos sus elementos y aplicable a cada Estado miembro.