El Reglamento General de Protección de Datos (RGPD) es la normativa europea que regula la protección de datos de las personas físicas de los ciudadanos de la Unión Europea, siendo la normativa más garantista hasta el momento respecto a los derechos de las personas.
Si bien el RGPD fue publicado en mayo de 2016, no será de obligado cumplimiento hasta mayo de 2018, pues el legislador europeo quiso conceder a las empresas que traten datos de carácter personal un periodo de dos años de adecuación a las nuevas exigencias legales.
Sin embargo, es cuestionable que este periodo haya resultado efectivo, pues aún existe gran desconocimiento de esta normativa.
¿Qué cambios supone para los ciudadanos y empresas españolas?
A quién afecta el RGPD. Este Reglamento trata de proteger los datos de carácter personal de los ciudadanos europeos, por lo que afecta a todas aquellas organizaciones y profesionales que traten datos de carácter personal. Por lo tanto, atañe tanto a las multinacionales estadounidenses que ofrezcan sus servicios en Europa (por ejemplo, Facebook o Google) como a las pymes españolas que, en el desempeño de su actividad, traten datos de carácter personal.
Cambios que supone para los interesados. Los ciudadanos europeos se verán realmente beneficiados por esta normativa, pues les otorga mayor control sobre sus datos personales, así como nuevos derechos. Un ejemplo es el denominado derecho a la portabilidad, que permite al interesado solicitar al responsable (por ejemplo, la operadora telefónica), el envío de sus datos personales en un formato estructurado a otro responsable que el propio interesado escoja, con la finalidad de que este último siga prestándole el servicio. Además, los interesados deberán recibir más información sobre el tratamiento de sus datos personales, como el periodo de conservación de los mismos o su derecho a presentar una reclamación ante la Agencia Española de Protección de Datos.
Cambios que supone para los responsables del tratamiento. Para los responsables (es decir, cualquier persona física o jurídica que decida sobre los medios y fines del tratamiento de los datos personales) supone un cambio drástico y la asunción de nuevas obligaciones, como la llevanza de un registro de actividades de tratamiento o la realización de un análisis de los riesgos que pudieran derivar del tratamiento, con la finalidad de calcular e implantar las medidas de seguridad necesarias para garantizar la seguridad de la información. Además, ahora el responsable no solo tendrá la obligación de cumplir todas las exigencias legales, sino que deberá ser capaz de demostrarlo.
Además, el responsable deberá actualizar los contratos con las empresas que accedan a los datos personales de su responsabilidad para la prestación de un servicio (encargados del tratamiento), pues el contenido de este contrato es más extenso y refleja mayores responsabilidades para ambas partes, en especial, para el encargado.
Consentimiento libre, específico e informado. El RGPD conlleva nuevas exigencias en lo que respecta a la prestación del consentimiento, que deberá ser ahora prestado de forma explícita, a través de un acto positivo del interesado, perdiendo validez todos los consentimientos prestados con anterioridad que no cumplan con este requisito.
El DPO, nueva figura acuñada por el RGPD. El Delegado de Protección de Datos, (o DPO por sus siglas en inglés), deberá ser un especialista en Derecho y en la práctica en materia de protección de datos, que podrá formar parte de la plantilla o desempeñar sus funciones en el marco de un contrato de servicios, y que deberá participar en todas las cuestiones relativas a la protección de datos dentro de la organización, rindiendo cuentas directamente al más alto nivel jerárquico.
Sin embargo, únicamente las autoridades y organismos públicos, las empresas cuya actividad requiera una observación habitual y sistemática de interesados a gran escala o el tratamiento a gran escala de categorías especiales de datos deberán contar con esta figura.
Por todo esto, el RGPD está suponiendo una revolución a nivel mundial, pues por un lado, otorga nuevas herramientas a los interesados para controlar el uso que se realiza de sus datos personales, y por otro, conlleva un cambio del paradigma normativo para aquellas empresas que traten datos de carácter personal.
Javier de Juana
Abogado de la firma MICROLAB
Si (
No(
