Nuevo reglamento europeo de protección de datos

El pasado 25 de mayo entró en vigor el nuevo Reglamento (UE) 2016/769 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento Europeo de Protección de Datos o REPD). El REPD introduce una serie de novedades que obligan a las organizaciones y grupos empresariales a adaptarse al mismo en un plazo que vence el 25 de mayo de 2018. A diferencia de su predecesora, el REPD es una norma de aplicación directa, que no necesita trasposición alguna por parte de los Estados miembros. La propia Agencia Española de Protección de Datos (AEPD) ha recomendado a las organizaciones que traten datos personales, que comiencen ya a prepararse pues existen numerosos cambios que requieren una evaluación previa y una adaptación de procesos.

Una de las novedades más importantes y que requiere anticipación en su cumplimiento, proviene del principio de “responsabilidad proactiva”. En su virtud, el responsable del tratamiento deberá diseñar y aplicar medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme con esta norma. Y la diligencia en este punto condiciona la cuantía de las multas en caso de infracción. Ello es relevante si tenemos en cuenta que también se ha introducido un nuevo régimen sancionador y que se contemplan multas de hasta 20 millones de euros, o hasta el 4% del volumen de negocio total anual global. Asimismo, el nuevo REPD reconoce derechos que venían siendo demandados por la sociedad e incluso reconocidos por el Tribunal de Justicia de la Unión Europea. Tal es el caso del “derecho al olvido” y la sentencia del referido tribunal, de 13 de mayo de 2014, en el caso “Google”, o el derecho a la portabilidad de los datos. Otras novedades que requieren una adaptación de los procesos de las organizaciones y, por tanto, anticipar su aplicación son: implantar el registro interno de actividades de tratamiento; notificar las violaciones de seguridad a la autoridad y, en su caso, al interesado; llevar a cabo las evaluaciones de impacto previas al tratamiento; etc.

En la práctica, las organizaciones que lleven a cabo tratamientos de datos personales afrontan un periodo durante el cual tendrán que identificar los gaps o necesidades de adaptación; planificar el cambio en cada área, servicio y proceso de la entidad o grupo empresarial; e implementar las decisiones adoptadas para que, dentro de un año y medio, estén en disposición de cumplir y de poder demostrar su cumplimiento. Ello de forma coordinada con la AEPD, a quien se atribuyen nuevas facultades como autoridad de control nacional. En definitiva, nos espera un trabajo intenso para situarnos a tiempo en posición de cumplimiento.

 

Autor: Ana López Carrascal  es Directora en el área de Regulatorio, Administrativo y Competencia de KPMG Abogados

Fuente: Cinco Días. Publicado el 28 de noviembre de 2016