Al gener del 2012 el Parlament Europeu juntament amb el Consell va publicar la proposta de Reglament Europeu de Protecció de Dades, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades. Aquesta proposta es troba encara en fase de tramitació, i ja s'han rebut nombroses esmenes que, sens dubte, matisaran alguns dels punts més conflictius del text normatiu ja que afecten directament a organitzacions amb un pes específic dins de l'espai econòmic europeu.

A continuació s'esmenten els principals canvis legislatius que, a l'entrada en vigor del nou Reglament a principis de l'any que ve (data límit per a la seva aprovació maig de 2014), seran d'aplicació directa i prevalent sobre el nostre actual sistema de protecció de dades personals, derogant així la Directiva 95/46/CE i per tant, la Llei 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal i el Reial Decret 1720/2007, de 21 de desembre, pel qual s'aprova el Reglament de desenvolupament de la citada Llei.

1. Aplicació de nous Principis, com el de rendició de comptes o "Accountability", al·ludint a la responsabilitat de les companyies en la implantació de mecanismes que garanteixin el compliment dels principis i obligacions en matèria de protecció de dades, així com als mètodes de validació que garanteixin la fiabilitat. I d'altra banda també apareix el Principi de Transparència, centrat en facilitar les relacions entre el responsable de les dades i l'interessat, així com entre el responsable de les dades i les autoritats de control.

2. Tractament de dades de menors, en el qual l'edat es fixa en menys de 13 anys (enfront de l'actual regulació espanyola que la fixa en menys de 14, en relació a l'oferta directa de serveis de la societat de la informació.

3. Nous drets per als ciutadans com el "Dret a l'oblit", que consisteix en aconseguir eliminar de la xarxa i dels cercadors qualsevol rastre que hi hagi de les dades de la persona que vol ser "oblidada" de manera definitiva. Un altre dret és el d'oposar-se a la "Creació de perfils", que consisteixin en avaluar, de manera automatitzada, determinats aspectes personals propis de la persona física. Un altre és el dret a la "Portabilitat de les dades", amb la finalitat d'obtenir del responsable del tractament una còpia de les dades objecte de tractament en un format electrònic estructurat i comunament utilitzat que li permeti seguir utilitzant.

4. Notificació de Bretxes de Seguretat establint mesures de seguretat de caràcter tècnic i organitzatiu, tenint en compte per a això, tant el desenvolupament de la tecnologia, com les solucions ofertes per la Privacy by Design i Privacy by Default.

5. Nova figura del delegat de Protecció de Dades que proposa el nou Reglament, destacant la obligatorietat de comptar amb un Data Proteccion Officer (DPO), per un termini mínim de 2 anys, tant en autoritats i organismes públics, com en empreses amb almenys 250 empleats. En aquest aspecte encara queda molt per detallar.

6. Realitzar una Avaluació d'impacte, que consisteix a realitzar una avaluació de riscos per part del responsable o l'encarregat del tractament, amb caràcter previ al tractament, permetent que les mesures que s'adoptin tinguin com a finalitat evitar la pèrdua de dades, els accessos i cessions no autoritzats. S'haurà de fer quan el tractament comporti riscos específics per als drets i llibertats dels interessats en raó de la seva naturalesa, abast o finalitat, casos en què serà necessari fer un "Informe d'Impacte de Privacitat”.

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:ES:PDF