Noticias
DGE Bruxelles Entidad Colaboradora de la UAM
Nuestra empresa, DGE BRUXELLES INTERNACIONAL, mediante la firma de un 'contrato de colaboración y coordinación en el ciclo de Conferencias s…

Experto LOPD
Novedades que trae el Reglamento Europeo de Protección de Datos sobre regularización de Transferencias Internacionales de Datos
Con la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos (RGPD 2016/679) el 25 de mayo de 2018  se produce una novedad re…

Home Cómo Contactar

Primer análisis y principales novedades del Reglamento Europeo de Protección de Datos

Noticias - Experto LOPD

Situación actual por la entrada en vigor del Reglamento

El Reglamento General de Protección de Datos ha entrado en vigor el 25 de mayo de 2016, pero no comenzará a aplicarse hasta dos años después de su entrada en vigor, el 25 de mayo de 2018. Hasta entonces, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos y su Reglamento de desarrollo siguen siendo plenamente válidos y aplicables.

Los motivos por los que se pospone dos años la aplicación del Reglamento son principalmente dos, por un lado para que las entidades, instituciones y organismos puedan ir preparándose y adaptándose a los nuevos requerimientos y por otro para que se en España se puedan elaborar las normas necesarias para desarrollar y permitir la aplicación del Reglamento.

Por esta razón en estos momentos todavía no podemos proponer un calendario de medidas concretas y específicas.

 Novedades que trae el Reglamento

Las novedades que debemos ir teniendo en cuenta son las siguientes:

  1. En cuanto a las empresas que deben cumplir el Reglamento, se amplía el ámbito de aplicación a aquellas empresas no establecidas en la Unión Europea que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión Europea o como consecuencia de una monitorización y seguimiento de su comportamiento.
  2. Se refuerza la exigencia de consentimiento, mediante una declaración o una acción positiva no pudiendo deducirse del silencio o de la inacción, estableciendo la obligación de disponer de sistemas de registro del consentimiento. Además se introduce la exigencia del consentimiento para la oferta directa a niños de servicios de la sociedad de la información (internet), que será válido para mayores de 14 años, mientras que para menores de 14 años se necesitará el consentimiento del padre o tutor.
  3. A los ya considerados como datos especialmente protegidos (ideología, religión, afiliación sindical, creencias, salud, origen racial y vida sexual) se añaden los datos genéticos y biométricos dirigidos a identificar de manera inequívoca a una persona.
  4. Se refuerza el derecho de transparencia, obligando a suministrar más información con carácter previo a la recogida de sus datos y el derecho al olvido para pedir que los datos personales sean suprimidos en determinadas circunstancias.
  5. Se introducen nuevos supuestos para la cancelación (bloqueo) de los datos.
  6. Se introduce el derecho a la portabilidad de los datos para solicitar a un responsable que los esté tratando de modo automatizado bien la recuperación de esos datos en un formato que permita su traslado a otro responsable o bien la transferencia de los datos directamente al nuevo responsable cuando sea técnicamente posible.
  7. Se establece la protección de datos desde el diseño, mediante la aplicación de medidas apropiadas al determinar los medios de tratamiento y en el momento mismo del tratamiento y la protección por defecto para que los datos personales no sean accesibles sin la intervención de la persona a un número indeterminado de personas físicas.
  8. Se establece la obligación de mantener un registro de ficheros y tratamientos por encargo de terceros en empresas con más de 250 trabajadores, en tratamientos de datos que entrañen riesgo para derechos y libertades, en tratamiento de datos  especialmente protegido o en tratamientos de datos relativos a condenas e infracciones penales.
  9. Se introduce la obligación de notificación a la Agencia Española de Protección de Datos y al interesado aquellas brechas de seguridad que se produzcan y que supongan riesgo de daños y perjuicios físicos, materiales o inmateriales para las personas físicas.
  10. Se impone la obligación de realizar evaluaciones de impacto en protección de datos (EIPD), siempre que sea probable que las operaciones de tratamiento, especialmente cuando se utilicen nuevas tecnologías, entrañen un alto riesgo para los derechos y libertades de las personas físicas. La Agencia Española de Protección de Datos publicará listas de los tipos de operaciones de tratamiento que requieran una evaluación de impacto.También se impone la obligación de nombrar un delegado de protección de datos cuando  los tratamientos que lleven a cabo por autoridades y organismos públicos (excepto los  tribunales), cuando las actividades principales requieran observación habitual y sistemática de interesados a gran escala o cuando consistan en el tratamiento a gran escala de datos especialmente protegidos o relativos a condenas e infracciones penales.
  11. Se insta a asociaciones u otros organismos que representen a categorías de responsables o encargados en determinados sectores a que elaboren códigos de conducta para facilitar la aplicación del Reglamento a las microempresas y las pequeñas y medianas empresas. Se fomenta el establecimiento de mecanismos de certificación y sellos y marcas de protección de datos que permitan evaluar el nivel de protección de datos de los productos y servicios y demostrar el cumplimiento del Reglamento.
  12. Se revisa el régimen de transferencias internacionales de datos que se estructura en transferencias basadas en decisión de adecuación por la Comisión Europea, en ofrecimiento de garantías adecuadas mediante instrumentos jurídicamente vinculantes o en la elaboración de normas corporativas vinculantes.
  13. Se establece un sistema de ventanilla única para que los responsables establecidos en varios Estados miembros de la Unión Europea o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la Unión Europea  tengan una única Autoridad de protección de datos como interlocutora. 
  14. Se crea el Comité Europeo de Protección de Datos que sustituye al Grupo de trabajo del artículo 29 de la Directiva 95/46/CE
  15. Se prevén poderes para sancionar con una advertencia, apercibimiento, solicitud de atención de ejercicio de derechos, limitaciones del tratamiento, y multas administrativas para las que se contempla un importante aumento de las cuantías que pueden llegar hasta los 20.000.000 o un 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Se prevé que para el 25 de mayo de 2018 los Estados miembros comuniquen a la Comisión otras sanciones efectivas, proporcionadas y disuasorias que decidan aplicar para las infracciones que no estén sancionadas con multas administrativas en el Reglamento.

 
Pasos a seguir para la adaptación al nuevo Reglamento

Como vemos son muchas y muy importantes las novedades que nos trae este Reglamento, por lo que no debemos esperar hasta el último momento y comenzar ya con su paulatina incorporación siempre y cuando no sean contradictorias con la normativa que sigue vigente hasta mayo de 2.018, pero actuando con prudencia mediante un seguimiento puntual de las leyes y normas que a nivel nacional se vayan publicando para desarrollar y permitir la aplicación del Reglamento.


Para más información puede consultar la nota informativa de la Agencia Española de Protección de Datos.