El Reglamento comunitario no 2016/679 de 27 de abril de 2016, publicado el 4 de mayo, es la norma de mayor relevancia que se ha adoptado en los últimos años en el ámbito de la protección de datos y la privacidad. Su principal objetivo es la aplicación uniforme y coherente del derecho de protección de datos en el territorio de la Unión Europea y unificará en gran medida el marco legal que actualmente aplica en este ámbito.
Las empresas dispondrán de un plazo de dos años desde la publicación del Reglamento para adaptarse a esta nueva norma. En concreto, resultará aplicable a partir del 25 de mayo de 2018. Ello no obstante, es importante familiarizarse cuanto antes con este nuevo marco regulatorio, a fin de comprenderlo y asegurar una adecuada transición.
Entre las principales novedades que impondrá la nueva regulación, frente al actual marco regulatorio en España que establece la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (“LOPD”), destacan las siguientes:
- Nuevo sistema de recogida de datos. Las cláusulas informativas y políticas de privacidad deberán adaptarse a un nuevo conjunto de deberes informativos (incluyendo nuevos parámetros como, por ejemplo, los datos de contacto del delegado de protección de datos, el plazo de conservación de los datos, el derecho a presentar reclamación ante la autoridad de control competente, etc.).
- Ampliación de los derechos de los interesados. El Reglamento recoge los tradicionales derechos de acceso, rectificación, cancelación (incluido el derecho al olvido) y oposición, y además –en aras a asegurar una óptima protección a los interesados- incorpora nuevos derechos, tales como los derechos a la limitación del tratamiento y el derecho a la portabilidad de los datos.
- Nuevas obligaciones organizativas para los responsables. Las entidades que traten datos personales deberán cumplir con nuevos deberes organizativos, entre los que cabe destacar los siguientes:
- Designación de un Data Protection Officer (Delegado de Protección de Datos), que centralizará la gestión de la protección de datos y podrá formar parte de la plantilla o desempeñar sus funciones en el marco de un contrato de servicios.
- Registro de las actividades de tratamiento, que sistematizará las actividades vinculadas al tratamiento de datos y que estará a disposición de las autoridades competentes en caso de que lo soliciten.
- Notificación de violaciones de la seguridad de los datos, que deberán realizarse ante las autoridades competentes, como norma general en el plazo máximo de 72 horas desde que se produzca la contingencia.
- Transferencias internacionales de datos. Entre otros supuestos, la autorización de la Agencia Española de Protección de Datos dejará de ser necesaria para transferir datos a terceros países cuando se usen las cláusulas contractuales tipo adoptadas por la Comisión Europea o una autoridad de control, o normas corporativas vinculantes.
- Autoridades competentes. La autoridad de control principal que resultará competente será la del lugar donde el responsable cuente con su establecimiento principal. En caso de grupos de empresa radicadas en la Unión Europea, será la que se corresponda con su sede central de operaciones.
- Nuevo régimen sancionador. Una de las principales novedades del Reglamento es el endurecimiento de las sanciones en caso de incumplimiento, pudiéndose imponer multas de hasta 20 millones de euros o de hasta el 4% del volumen de negocios a nivel mundial del infractor.
