UN PRIMER Y BREVE ANÁLISIS SOBRE EL NUEVO RGPD

Tras casi nueve años de proceso legislativo, por fin el pasado día 25 de mayo de 2016 entró en vigor el nuevo RGPD (Reglamento General de Protección de Datos), aunque no será de aplicación hasta el próximo 25 de mayo de 2018.

El Reglamento da un paso más hacia el mercado único digital buscando armonizar la normativa sobre protección de datos personales en el seno de la Unión Europea.

Para ello, esta norma prevé tanto una serie de nuevas obligaciones que las empresas tendrán que cumplir en dos años vista como un refuerzo de los derechos de los ciudadanos en materia de protección de datos. De entre las cuales, merece destacar las siguientes novedades:

  • Se refuerza el principio de autorresponsabilidad (accountability) de las empresas siguiendo así la tendencia marcada por el compliance normativo.
  • Se crea el concepto de privacidad desde el diseño (privacy by design) en el sentido que las empresas tendrán que ajustarse a las obligaciones del Reglamento en función del tipo/riesgo de tratamiento de datos que realicen.
  • Se amplía la información que debe facilitarse a los ciudadanos respecto a las actuales exigencias de la LOPD, pero por otro lado se pretende simplificar la forma de informar previendo un sistema de iconos normalizados (¿puede ser el fin de las interminables y agotadoras cláusulas informativas de protección de datos?).
  • Se prevén nuevos derechos para los ciudadanos como, por ejemplo, el derecho al olvido o el derecho de portabilidad de los datos. Sin duda, el derecho a la portabilidad de datos tendrá un gran impacto en las plataformas P2P en las que los usuarios podrán migrar su reputación online de una plataforma a otra lo que generará un aumento de la competitividad entre las mismas al desparecer los “clientes cautivos de su reputación”.
  • Se consolida la figura del delegado de protección de datos (data protection officer), pudiendo ser tanto interno como externo. Si bien está figura no será obligatoria para todas las empresas, parece que será muy recomendable su nombramiento.
  • Se incrementa el importe de las sanciones pudiendo llegar, en casos muy graves, hasta 20 millones de euros o hasta el 4% de la facturación mundial del infractor.

Sin embargo, estas no son las únicas novedades, hay muchas más como, por ejemplo, las evaluaciones previas de impacto (privacy impact assessments), limitaciones en la segmentación de perfiles (profiling), notificaciones a las autoridades de los fallos de seguridad, etc.

Como decíamos, este Reglamento no será de aplicación hasta dentro de dos años, mientras tanto las empresas deberán seguir cumpliendo con la normativa actual española (y Directiva europea) en tanto no se deroguen.

No obstante, ello no quita que las empresas empiecen ya a diseñar la implementación del Reglamento, pues las prisas son malas compañeras y muchas medidas difícilmente se podrán implementar a última hora.

Sergio de Juan-Creix y Elena Pagés

Entradas recomendadas

Dejar un comentario