El nuevo Reglamento Europeo de Protección de Datos Personales entró en vigor el 25 de mayo de 2016 y será aplicable para toda la UE a partir del 25 de mayo de 2018
Entre las múltiples novedades, las más relevantes en función del impacto que tendrá en las empresas y los particulares, son:
-
Se amplía la obligación respecto al deber de informar a los usuarios y clientes y se obliga a que el consentimiento del usuario deberá ser siempre explícito, bajo una declaración o acción afirmativa.
-
Se exigirán evaluaciones de impacto, sobre todo en aquellos casos que se vayan a tratar datos sensibles, teniendo que hacer esta evaluación antes de poder iniciar el tratamiento de los datos personales.
-
La privacidad desde el diseño se convierte en pieza clave para que las empresas responsables determinen desde el primer momento qué medidas de seguridad deberán aplicar para el tratamiento de los datos que van a realizar. La Privacidad desde el diseño (Privacy by Design) es fundamental para cualquier desarrollo tecnológico en el que intervenga un tratamiento de datos de carácter personal.
-
En cuanto al ámbito de aplicación, se estipula que este reglamento afectará a los responsables que se dirijan y traten datos de ciudadanos europeos, independientemente del lugar donde radique su negocio. Esto quiere decir, que el reglamento es aplicable a aquellos responsables que no están en la Unión Europea, pero que ofrecen productos o servicios dentro de ella.
-
La figura del Delegado de Protección de Datos adquiere una importancia vital, siendo obligatorio para multitud de empresas, para encargarse de garantizar el cumplimiento, notificar las violaciones de seguridad y tramitar las autorizaciones que sean necesarias. Por tanto, designar a un DPO (Data Protection Officer), será imprescindible para los organismos públicos y para aquellas empresas que traten datos personales a gran escala. Esta figura podrá formar parte de la plantilla o ser un trabajador externo.
-
Se exige a los responsables de los datos que cuando observen una violación de seguridad deberán ponerlo en conocimiento de la Autoridad correspondiente. Esto quiere decir, que una empresa responsable deberá ser la encargada de acusarse a sí misma de que en su propia empresa se ha producido una brecha de seguridad. Desde luego, este punto será uno de los más polémicos.
-
El régimen sancionador, se vuelve más severo, sobre todo para aquellas empresas que tenga mayor facturación, y que afectarán tanto a los responsables como a los encargados de protección de datos. Las multas podrán alcanzar hasta los 20 millones de euros o el 4% del volumen de negocios total anual del ejercicio financiero anterior.