El nuevo Reglamento europeo sobre protección de datos es ya una realidad. Tras más de cuatro años de tramitación, el pasado 5 de mayo fue finalmente publicado el texto definitivo. Uno de los principales objetivos perseguidos con este cambio normativo ha sido la creación de una regulación paneuropea en materia de protección de datos, evitando la complejidad, inseguridad jurídica y los costes motivados por la divergencia entre las distintas leyes vigentes en los países de la Unión Europea. Del mismo modo, con el Reglamento europeo se ha pretendido la modernización de la regulación con el fin de reforzar los derechos de los ciudadanos frente a la imparable evolución tecnológica y la globalización.
Desde el punto de vista de la protección de los derechos de los ciudadanos, las novedades son numerosas. Entre otras, podrían destacarse el derecho al olvido que ya venía reconociéndose por los tribunales, el nuevo derecho a la portabilidad cuyo fin es facilitar la transferencia de datos cuando los interesados decidan cambiar de proveedor de servicios, así como el derecho a conocer las violaciones de la seguridad de sus datos personales cuando entrañen un alto riesgo para los derechos de los interesados. Asimismo, el Reglamento refuerza la protección de los ciudadanos frente a la elaboración de perfiles (comportamiento, situación económica, rendimiento laboral, etc.) y la toma de decisiones automatizadas; y, con carácter general, establece un nuevo régimen de información y obtención del consentimiento con el fin de que los ciudadanos cuenten con una información clara y precisa sobre los tratamientos de datos que se pretendan llevar a cabo y para que su consentimiento sea recogido de manera transparente, leal y lícita.
Reto empresarial
Desde la perspectiva empresarial, el Reglamento europeo supone un cambio de paradigma en el modo de abordar el cumplimiento de la normativa sobre protección de datos y de los riesgos asociados a su incumplimiento, considerando la cuantía de las multas finalmente aprobadas que puede alcanzar hasta los 20 millones de euros o el equivalente al 4% del volumen de negocio anual global del ejercicio financiero anterior. De este modo, el cumplimiento del nuevo Reglamento pasará definitivamente a ser una de las prioridades de las áreas de compliance y gestión de riesgos de las empresas afectadas por esta normativa.
En un sentido positivo, el Reglamento simplifica ciertos trámites administrativos comprendidos en la actual normativa, tales como la supresión de la obligación de inscribir ficheros en la autoridad de control y la eliminación del requerimiento de obtener la previa autorización de dicha autoridad cuando las transferencias internacionales de datos se fundamenten en las cláusulas tipo adoptadas por la Comisión Europea. Sin embargo, dicha simplificación se contrapone con la obligación de adoptar diversas medidas internas en el ámbito de las organizaciones. En este sentido las empresas podrán verse obligadas, según su tamaño y los riesgos que entrañen los tratamientos que lleven a cabo, a realizar evaluaciones de impacto de privacidad con anterioridad al tratamiento de los datos, a designar un delegado de protección de datos y a garantizar su independencia en el desempeño de sus funciones, así como a llevar un registro de actividades de tratamiento. Por otro lado, las empresas deberán implementar las medidas técnicas y organizativas, incluyendo técnicas de seudonimización y minimización, para cumplir con el “principio de privacidad desde el diseño y por defecto” en relación con actividades que puedan afectar al tratamiento de datos de carácter personal.
En definitiva, durante los dos próximos años, plazo en el que el Reglamento será aplicable, las empresas tienen ante sí un gran reto como es comprender el impacto concreto que este tiene en su organización y adaptar la misma a los numerosos requerimientos contenidos en la nueva regulación.
