Cuenta atrás para la implantación del Reglamento General de Protección de Datos (RGPD)
Las bandejas de entrada de nuestras cuentas de correo electrónico se están viendo inundadas en estos días de e mails con el asunto “Mejoras a nuestra política de privacidad y controles de privacidad” o “Actualización de nuestra política de protección de datos”. Nos encontramos con algo similar cuando accedemos a nuestras redes sociales como Twitter, Instagram, Facebook, etc., así como en las aplicaciones que nos permiten compras online, las compañías de seguros y un largo etcétera de empresas y entidades que, sin ya acordarnos, poseen nuestros datos personales porque en algún momento se los proporcionamos.
El 25 de mayo de 2016 entró en vigor el nuevo Reglamento General de Protección de Datos o RGPD, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y que
deroga la Directiva 95/45/CE. Sin embargo, su aplicación efectiva tendrá lugar en unos días, cuando se cumpla el segundo aniversario de su entrada en vigor, habiéndosele dado un margen de dos años a los estados miembros de la Unión Europea y a los autónomos, PYMES, grandes empresas, organizaciones y cualesquiera instituciones que tratan datos de carácter personal de residentes en la Unión Europea para adaptarse a este nuevo reglamento que parece echárseles encima.
En España, hasta la fecha, opera la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal o LOPD que debe de ser revisada para adaptarse al RGPD y que hasta el momento no se ha hecho, por lo que a partir del 25 de mayo en España operará esta última.
La finalidad del RGPD es la de unificar los criterios de todos los estados miembros de la UE relativos a la protección de datos, introducir a las empresas internacionales que operan en territorio europeo, hacer frente a la revolución digital,
dotar de una mayor transparencia, mayor control y mayor seguridad a los ciudadanos sobre su información personal en el mundo e implantar una mayor obligación a esas empresas e instituciones que gestionan, tratan y almacenan datos de
carácter personal.
Entre las novedades que introduce este nuevo Reglamento Europeo, destacamos:
- Se adelanta a los 13 años la edad mínima de consentimiento para el tratamiento de datos. En España hasta ahora era 14 años.
- Se elimina el consentimiento tácito, pasando a ser obligatoria una manifestación afirmativa, expresa y explicita por parte de la persona que cede los datos o interesado.
- Prima el principio de transparencia, las empresas deben informar al interesado sobre el tratamiento, quién y para qué recopilan sus datos, y demostrar que esos datos solo se utilizan para los fines que les han sido explicados.
- Se introducen derechos nuevos a los ya existentes Derechos Arco (Acceso, Rectificación, Cancelación y Oposición):
- Portabilidad (a recibir nuestros datos en un formato de uso común y trasmitirlos a otro responsable del tratamiento).
- Derecho a la Limitación del Tratamiento.
- Derecho al Olvido o Supresión.
- Privacidad por diseño, esto es que desde las primeras etapas de desarrollo de un producto o servicio debe incluirse la garantía de protección de datos y no como acción adicional.
- Se introduce la figura del Delegado de Protección de Datos o DPO en las empresas, persona física o jurídica cuyo nombramiento deberá ser comunicado a la Agencia Española de Protección de Datos (AEPD), que se coordinará y cooperará con las autoridades autonómicas correspondientes.
- Se tomará en cuenta el tratamiento de los datos correspondientes a personas fallecidas exclusivamente en base a la solicitud de sus herederos.
- Obligación a las empresas de comunicar las brechas de seguridad a la Agencia Española de Protección de datos en 72 horas. Se entiende por brechas de seguridad cualquier violación, perdida o extravío de datos personales que pongan en riesgo los derechos y libertades de las personas.
- El régimen sancionador se vuelve más severo, y este afecta a los responsables o encargados del tratamiento y las multas pueden llegar hasta los 20 millones de euros o el 4% de su volumen de negocios total anual.
Estas son sólo algunas de las novedades remarcables de las ochenta y ocho páginas en las que se desarrolla este nuevo Reglamento Europeo, que pueden ser de interés para el usuario que en estos días se cuestiona el porqué de la actualización de las políticas de privacidad de las empresas e instituciones a las que nos hemos referido.
Desde mi punto de vista, entiendo estos cambios como positivos, ya que suponen un paso más hacia la protección de los usuarios en relación con las empresas, primando la transparencia en la forma en la que éstas deben ofrecer la información y hacer uso de los datos personales, poniéndose una vez más de manifiesto que la pertenencia a la Unión Europea es algo que nos beneficia.