Aprobado el nuevo reglamento europeo de protección de datos

Un paso más en materia de privacidad

Durante la sesión que tuvo lugar ayer, día 14 de Abril de 2016, ha quedado zanjado el futuro Reglamento Europeo de Protección de Datos. Tras más de cuatro años de trabajo, esta nueva legislación sustituirá a la Directiva de 1995, ya obsoleta debido a la revolución tecnológica y digital que estamos viviendo.

Con este Reglamento se quiere dar más control a los interesados sobre su información privada, tanto en redes sociales, smartphones, banca online, etc., de  forma que puedan decidir qué información quieren compartir.

A pesar de que es una única norma para toda la Unión Europea, y de aplicación inmediata una vez entre en vigor, debe ser interpretada a nivel nacional, es decir, nuestra Agencia Española de Protección de Datos (en adelante, AEPD), deberá pronunciarse ya que en muchos artículos (unos 50) se deja la puerta abierta a los Estados Miembros para que regulen esos aspectos.

Entre las novedades más significativas destacamos:

  • Evaluación de Impacto relativa a la protección de datos. Se trata de cuál es el efecto en la privacidad del individuo de ciertos desarrollos tecnológicos. Es un análisis de riesgos. La AEPD ya se pronunció sobre éste asunto, creando una guía. A través de ésta evaluación se consigue la protección de datos desde el diseño y por defecto.
  • Ventanilla única (One Stop Shop) a través de la cual las empresas españolas con sedes en otros Estados Miembros, podrán tratar con, en nuestro caso, la AEPD o con la del Estado Miembro donde se encuentre su matriz.
  • Elaboración de perfiles para evaluar determinados aspectos personales de una persona física.
  • Seudonimización que consiste en el tratamiento de datos personales de forma que no puedan atribuirse a una persona física identificada o identificable.
  • Derecho al olvido mediante la rectificación o supresión de datos personales.
  • Derecho a la portabilidad de datos de un proveedor de servicios a otro.
  • Multas de hasta 20 millones de euros o el 4% de su facturación global (optándose por la mayor cuantía)
  • Licitud del consentimiento. El consentimiento queda como un acto afirmativo claro.
  • Delegado de Protección de Datos para el sector público y actividades de Big Data.
  • Notificar una violación de seguridad en 72 horas al órgano de control, o si es de alto riesgo, al interesado.
  • Datos genéticos (datos que proporcionen información sobre la fisiología o la salud de personas obtenidos por análisis de muestras biológicas) / Datos biométricos (datos que permiten la identificación única de personas, como imágenes faciales o datos dactiloscópicos).
  • Responsabilidad proactiva. Las empresas deben de adoptar medidas para demostrar que se está cumpliendo con el Reglamento, es decir, los responsables tienen que demostrar la carga de la prueba. Esto da lugar a un capítulo entero de medidas y obligaciones prácticas, que será la parte que más contribuya a proteger los datos.
  • Transparencia de la información. Las políticas de privacidad deberán cambiar para adaptarse a lo que exige el Reglamento.
  • Protección de datos desde el diseño y por defecto.

Con respecto a la seguridad del tratamiento, somos de los pocos países que disponemos ya de una norma (Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal), que regula las disposiciones que exigen el nuevo Reglamento Europeo, por lo que en principio, no nos supondrá tanto impacto como a otros países, a expensas de que como hemos comentado, se pronuncie la AEPD.

Cambia radicalmente el concepto de encargado del tratamiento, hacia un “encargado seguro” de forma que el contrato que regula la relación de estos prestadores de servicios se refuerza, exigiendo que quede todo estipulado.

Este Reglamento entrará en vigor 20 días después de haber sido publicado en el Diario oficial de la Unión Europea, que previsiblemente será a finales de junio y los países miembros tendrán una vacatio legis de dos años para adaptarlo a sus legislaciones nacionales.

Mencionar que el Reglamento incluye nuevas normas mínimas sobre el uso de datos para fines judiciales y policiales. El Parlamento también ha aprobado la directiva sobre registro de datos de pasajeros (PNR).

Por último, desde el equipo de expertos en privacidad de KPMG nos gustaría mandar un mensaje de tranquilidad a nuestros clientes, socios y asesorados, respecto a las implicaciones y acciones a acometer. El proceso todavía tiene que evolucionar hasta que tengamos requerimientos de aplicación en nuestro país.