La protección de los datos personales tiene un nuevo reglamento
Por ello, teniendo en cuenta la inminente entrada en vigor del Reglamento General de Protección de Datos, hemos pensado en un nuevo apartado de nuestro blog: en la sección Legal y Privacidad encontrarás contribuciones y análisis de nuestros expertos para mantenerte informado sobre el gran tema de la protección de la privacidad y sobre los aspectos legales del marketing por correo electrónico.
Con esta primera entrada del blog te invitamos a descubrir el nuevo Reglamento General de Protección de Datos.
Desde el desarrollo de integraciones hasta el apoyo estratégico, desde la creación de conceptos creativos hasta la optimización de resultados.
Las etapas que han llevado a la reforma
Después de cuatro años de discusión, la reforma de la normativa sobre el tratamiento de datos personales ha llegado a su meta.
El 25 de enero de 2012, la Comisión Europea presentó un paquete legislativo – formado por una propuesta de Reglamento y una propuesta de Directiva en relación con el tratamiento de los datos personales – para actualizar la normativa actual, que data de 1995 (Directiva 95/46/CE).
¿El porqué de la reforma? El gran impacto que Internet y la evolución de la tecnología han tenido sobre la economía y las relaciones sociales ha llevado a la Comisión Europea a encuadrar la protección de datos personales entre las prioridades de su Agenda Digital. De ahí la decisión de introducir un reglamento general sobre protección de datos que sustituya, sin necesidad de leyes de adaptación, las normativas de cada nación.
El reglamento permite alcanzar estos tres objetivos fundamentales:
- actualizar los principios recogidos en la directiva de protección de datos de 1995 y presentar un único texto normativo directamente aplicable en los 28 países miembros de la Unión Europea;
- definir los derechos de las personas físicas y establecer las obligaciones de quienes procesan los datos o son responsables de su tratamiento;
- establecer también los métodos para garantizar el cumplimiento de las normas y el alcance de las sanciones contra quienes las infrinjan.
Después de largas discusiones, que duraron más de tres años, en la sesión extraordinaria celebrada el 17 de diciembre de 2015, la Comisión de Libertades civiles, Justicia y Asuntos de Interior del Parlamento Europeo ha expresado su posición sobre los textos acordados en las negociaciones entre el Consejo, el Parlamento Europeo y la Comisión. El 18 de diciembre de 2015, el Comité de representantes permanentes (Coreper) aprobó el texto de compromiso definitivo del reglamento, que ahora sólo espera la implementación de algunos pasos formales antes de su publicación en el Diario Oficial de la Unión Europea.
El proyecto de reglamento aborda numerosas cuestiones fundamentales y modifica la normativa vigente en muchos elementos sustanciales. Veamos cuáles:
1) Los derechos de los interesados
El reglamento enumera los derechos de los interesados, es decir, de las personas físicas cuyos datos personales son utilizados. Estos derechos reforzados otorgan al individuo un mayor control sobre sus datos personales a través de:
- la necesidad de un claro consentimiento del interesado en el tratamiento de los datos personales;
- un acceso facilitado del interesado a sus datos personales;
- el derecho a la rectificación, la cancelación y el “olvido«;
- el derecho a la objeción, también en relación con el uso de los datos personales con la finalidad de elaborar «perfiles»;
- el derecho a la portabilidad de los datos de un proveedor de servicios a otro.
El reglamento también establece la obligación de los responsables del tratamiento de proporcionar a los interesados información transparente y fácilmente accesible sobre el tratamiento de sus datos.
2) Titulares, encargados y oficiales de privacidad de datos
El nuevo reglamento especifica las obligaciones generales de los titulares del tratamiento de datos personales y de quienes los tratan por cuenta propia (encargados del tratamiento). Entre ellas, la obligación de aplicar medidas de seguridad adecuadas en función de los riesgos asociados a las operaciones de tratamiento de los datos (enfoque basado en el riesgo). Los titulares del tratamiento también deben, en algunos casos, comunicar las violaciones de datos personales (notificación de violación de datos). Todas las autoridades públicas y las empresas que realizan operaciones arriesgadas de tratamiento de datos deberán también designar a otra figura responsable de la protección de datos, conocida como Oficial de privacidad de datos.
3) Los Garantes, las novedades para las multinacionales y las sanciones
El reglamento confirma la obligación actual para los Estados miembros de la Unión Europea de instituir una autoridad de control independiente a nivel nacional; también tiene como objetivo establecer los mecanismos para garantizar la coherencia de la aplicación de la normativa sobre la protección de datos en toda la UE. En particular, en los casos transfronterizos importantes en que estén involucradas varias autoridades nacionales de supervisión, se adoptará una decisión de control única. De acuerdo con este principio, conocido como «ventanilla única«, una empresa con filiales en varios Estados miembros deberá interactuar sólo con la autoridad de protección de datos en el Estado miembro donde se encuentra el establecimiento principal.
El proyecto de acuerdo también prevé la creación de un Comité europeo de protección de datos, que incluirá a representantes de todas las 28 autoridades de control independientes.
Se reconoce el derecho de los interesados a presentar reclamos a la autoridad de control, así como el derecho a un recurso jurisdiccional y el derecho a indemnización y responsabilidad. Los interesados, además, tendrán el derecho de obtener una revisión por parte de un juez nacional de las decisiones adoptadas por las respectivas autoridades encargadas de la protección de datos. Y esto independientemente del Estado miembro en que esté establecido el responsable del tratamiento de los datos.
Para los responsables o encargados del tratamiento que violen las normas sobre protección de datos se prevén sanciones muy severas, de hasta 20 millones de euros o el 4% de su facturación global anual, impuestas por las autoridades nacionales encargadas de a protección de los datos.
4) Las transferencias de datos a terceros países
La propuesta contempla también la transferencia de datos personales a terceros países y organizaciones internacionales. En este caso, la Comisión evaluará el nivel de protección ofrecido por un territorio o por un sector de tratamiento en un tercer país. En ausencia de una decisión de adecuación de la Comisión, la transferencia de datos personales aún puede tener lugar en casos especiales o cuando existan las garantías apropiadas, como las cláusulas de protección de datos, normas corporativas vinculantes o cláusulas contractuales.
Las próximas etapas del Reglamento
El texto será presentado para la adopción de un acuerdo político en una próxima sesión del Consejo y, luego de que el Consejo tome una posición en primera lectura , será remitido al Parlamento para su aprobación.
Se espera que el reglamento entre en vigor en la primavera de 2016 y que pueda aplicarse a partir de la primavera de 2018.
En las próximas entradas del blog profundizaremos en las novedades esenciales que el reglamento introduce, centrándonos en diez puntos que hay que conocer para evitar imprevistos. ¿Preguntas o dudas? Deja un comentario debajo.