Nuevo Reglamento Europeo de Protección de Datos

En enero del 2012 el Parlamento Europeo junto con el Consejo publicaron la propuesta de Reglamento Europeo de Protección de Datos, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Dicha propuesta se encuentra todavía en fase de tramitación, y ya se han recibido numerosas enmiendas que, sin duda, matizarán algunos de los puntos más conflictivos del texto normativo ya que afectan directamente a organizaciones con un peso específico dentro del espacio económico europeo.

A continuación se mencionan los principales cambios legislativos que, a la entrada en vigor del nuevo Reglamento a principios del próximo año (fecha límite para su aprobación mayo de 2014), serán de aplicación directa y prevalente sobre nuestro actual sistema de protección de datos personales, derogando así la Directiva 95/46/CE y por ende, la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la citada Ley.

  1. Aplicación de nuevos Principios, como el de rendición de cuentas o “Accountability”, aludiendo a la responsabilidad de las compañías en la implantación de mecanismos que garanticen el cumplimiento de los principios y obligaciones en materia de protección de datos, así como a los métodos de validación que garanticen su fiabilidad. Y por otro lado también aparece el Principio de Transparencia, centrado en facilitar las relaciones entre el responsable de los datos y el interesado, así como entre el responsable de los datos y las autoridades de control.
  2. Tratamiento de datos de menores, cuya edad se fija en menos de 13 años (frente a la actual regulación española que la fija en menos de 14, en relación a la oferta directa de servicios de la sociedad de la información.
  3. Nuevos derechos para los ciudadanos como el “Derecho al olvido”, que consiste en conseguir eliminar de la red y de los buscadores cualquier rastro que haya de los datos de la persona que quiere ser “olvidada” de manera definitiva. Otro derecho es el de oponerse a la “Creación de perfiles”, que consistan en evaluar, de manera automatizada, determinados aspectos personales propios de dicha persona física. Otro es el derecho a la “Portabilidad de los datos”, con el fin de obtener del responsable del tratamiento una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos.
  4. Notificación de Brechas de Seguridad estableciendo medidas de seguridad de carácter técnico y organizativo, teniendo en cuenta para ello, tanto el desarrollo de la tecnología, como las soluciones ofrecidas por la Privacy by Design y Privacy by Default.
  5. Nueva figura del Delegado de Protección de Datos que propone el nuevo Reglamento, destacando la obligatoriedad de contar con un Data Proteccion Officer (DPO), por un plazo mínimo de 2 años, tanto en autoridades y organismos públicos, como en empresas con al menos 250 empleados. En este aspecto aún queda mucho por detallar.
  6. Realizar una Evaluación de Impacto, que consiste en realizar una evaluación de riesgos por parte del responsable o el encargado del tratamiento, con carácter previo al tratamiento, permitiendo que las medidas que se adopten tengan como finalidad evitar la pérdida de datos, los accesos y cesiones no autorizados. Se deberá hacer cuando el tratamiento entrañe riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines, en cuyo caso será necesario realizar un “Informe de Impacto de Privacidad”.
Ir arriba