Aprobación del GDPR
El Parlamento Europeo aprobó ayer (14 de abril de 2016), el Reglamento General de Protección de Datos (General Data Protection Regulation). Entrará en vigor 20 días después de su publicación en el Diario Oficial de la UE, siendo aplicable en todos los Estados miembros dos años después (primavera de 2018), sin la necesidad de aplicar la legislación nacional.
Este proceso legislativo permite que todas las leyes nacionales sobre protección de datos existentes actualmente y que se crearon a raíz de la Directiva de protección de datos de 1995, sean reemplazadas por una ley uniforme y común para toda la UE.
El GDPR ha sido negociado durante más de cuatro años entre la Comisión Europea, el Parlamento y el Consejo. Las nuevas reglas aprobadas representan el mayor cambio en materia de protección de datos que se ha producido en 20 años.
Tienen como objetivo fortalecer los derechos que las personas tenemos sobre nuestros datos personales y, a la vez, actualizar las normas en la materia para adecuarlas a la era digital. En nuestro país, esta normativa sustituirá a la Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 (LOPD) y a su Reglamento de desarrollo.
El GDPR incluye entre otras obligaciones las siguientes:
Notificar las brechas de seguridad o la violación de datos antes de 72 horas:
El responsable del tratamiento deberá notificar a la Autoridad de Control correspondiente (en nuestro caso, la Agencia Española de Protección de Datos), en el momento en que se produzca un fallo de seguridad de datos personales dentro de las 72 horas siguientes a haberse tenido conocimiento del hecho. También pueden estar obligados a informar a las personas afectadas, cuando existan tratamientos de datos protegidos para la seguridad de sus datos personales.
Rendición de cuentas y protección desde el diseño y por defecto:
Se exigirá a las empresas que puedan demostrar el cumplimiento de las normas y que protejan la intimidad mediante el diseño y por defecto, antes y durante. Esto incluye la realización de una evaluación de impacto sobre la privacidad para el procesamiento de datos protegidos.
Delegado de Protección de datos (DPO):
Las empresas estarán obligadas a designar un responsable de la protección de datos para supervisar el cumplimiento de las normas cuando:
- Sus actividades principales consisten en el procesamiento de datos que requiere un seguimiento periódico y sistemático de personas a gran escala, o
- Su núcleo actividades consisten en el procesamiento a gran escala de categorías especiales de datos. Esto incluye procesamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, creencias religiosas o filosóficas, la pertenencia a sindicatos y los datos relativos a la salud.
Más derechos para las personas:
Se mejoran los derechos de las personas como el derecho al olvido o que las empresas deben revisar sus procedimientos para asegurar que puedan cumplir con estos derechos.
Consentimiento de los afectados:
Se deberá demostrar que se cuenta con el consentimiento del titular de los datos para el tratamiento de los mismos y que éste se ha obtenido de forma, libre, inequívoca, específica e informada.
Sanciones más duras:
Las empresas estarán sujetos a multas de hasta 20 millones de € o 4% de su facturación global anual (la cifra que sea mayor) para las infracciones cometidas sobre los principios básicos del tratamiento, como la obtención del consentimiento.
Quienes traten datos personales deberán aplicar la nueva normativa. Dispondremos de dos años para prepararnos y adaptarnos a las nuevas reglas. Los organismos de la UE y las autoridades nacionales emitirán una serie de nuevas directrices en los próximos meses, lo cual debería ayudar con los preparativos.
Además de la aprobación del GDPR, el Parlamento Europeo también aprobó la Directiva de protección de datos para las autoridades policiales y de justicia penal. Tiene por objeto garantizar que los datos de las víctimas, testigos y sospechosos de crímenes sean debidamente protegidos durante las investigaciones criminales y acciones policiales. También debería facilitar la cooperación transfronteriza entre las autoridades, lo que permitirá investigaciones criminales más eficaces.