Por Laura Davara Fernández de Marcos
Doctora en Derecho y Socia de Davara&Davara Asesores Jurídicos (www.davara.com)
Al hablar del Reglamento Europeo de Protección de Datos[1] –en adelante, también, el Reglamento-, hay que partir de dos ideas clave. De un lado, el gran cambio que supone respecto a la Directiva 95/46/CE[2], consecuencia del cual la Unión Europea ha debatido el texto durante cuatro años y, de otro, la aplicabilidad directa del mismo sobre todos los Estados miembros de la Unión Europea, sin necesidad de que haya una norma nacional que la trasponga.
No cabe duda de que el Reglamento Europeo ha venido a dar respuesta al enorme impacto que han supuesto, y siguen suponiendo, las Tecnologías de la Información y las Comunicaciones en la vida política, social, económica y de ocio a nivel mundial y a realidades como las redes sociales, el cloud computing o el big data que, en 1995, cuando se dictó la Directiva, eran inimaginables.
Es por ello que el Reglamento deja claro que será de aplicación a los tratamientos de datos –total o parcialmente automatizados- que se produzcan dentro o fuera de la Unión Europea siempre y cuando los interesados sean residentes en la Unión. Es ésta una de las principales novedades por cuanto, a día de hoy empresas que tratan masivamente datos de carácter personal de millones de usuarios –europeos y no europeos- (como pueden ser Facebook, Twitter, el propio Google etc) se escudan, para no cumplir con la normativa europea, en que su residencia estaba en Estados Unidos y, por tanto, el derecho europeo no le era aplicable. A partir de ahora, en concreto del 25 de mayo de 2018 que será cuando resulte aplicable(dos años después de su entrada en vigor, el 25 de mayo de 2016), esto no será así por cuanto el Reglamento pone en el centro a los interesados y, por tanto, lo importante será dónde residen los interesados del citado tratamiento de datos.
Más allá del ámbito territorial, el Reglamento aborda una serie de cuestiones que es necesario destacar. De entre ellas, destacamos las definiciones, previstas en el artículo 4 y de entre las que destacan, por resultar novedosas frente a las ya existentes en la Directiva del 95, la de “limitación en el tratamiento”; “datos biométricos” o “elaboración de perfiles”, entre otras.
En un segundo momento se abordarán los llamados “principios”, esto es, las obligaciones que han de cumplir los responsables y encargados del tratamiento. En este sentido, el Reglamento aborda, entre otros, la licitud del tratamiento, los requisitos para el consentimiento –haciendo un especial hincapié en el tema de los menores de edad- y el tratamiento de las categorías especiales de datos en su capítulo II.
Una vez conocidos y fijados los principios, el capítulo III lo destina a los derechos del interesado, siendo los más novedosos el tan controvertido “derecho al olvido” y el “derecho a la portabilidad de los datos”, sin obviar los ya contemplados en la normativa vigente de acceso, de rectificación, de cancelación y de oposición.
En otro orden de cosas, si bien el Reglamento suprime la obligación de notificar la inscripción de ficheros al organismo de control competente, introduce como nuevas obligaciones el deber de notificar la violación de datos tanto al interesado como a la autoridad de control así como el deber de realizar una evaluación de impacto cuando se cumplen una serie de condiciones.
Asimismo, juegan un papel fundamental en el Reglamento la llamada “privacidad desde el diseño” y la “privacidad por defecto”, exigencias que harán que, desde la propia creación de un programa o una aplicación informática, la privacidad juegue un papel fundamental.
Como no podía ser de otra manera, el Reglamento prevé también un régimen de responsabilidades y sanciones en caso de incumplir lo dispuesto en él. Con la intención de que a ninguna entidad “le salga rentable” violar el derecho fundamental a la protección de datos, prevé elevadas sanciones –que pueden llegar a ser de hasta 20 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior”.
Por último, conviene hacer una llamada de atención sobre la figura del “Delegado en Protección de Datos” –conocido también como DPO por sus siglas en inglés- y que será obligatorio para todas las entidades que cumplan los requisitos planteados en el Reglamento. Tanto sus características como sus tareas y funciones están descritas en el Reglamento.
Concluyo afirmando la necesidad de que todas las entidades cambien su modus operandi en cuanto al tratamiento de datos de carácter personal y la importancia de formarse en todas las novedades que supone este nuevo Reglamento que, sin duda, pone en el centro de su protección al interesado, abogando, en todo momento, por la información y la transparencia como base de todo tratamiento de datos de carácter personal.
[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Publicado en DOUE serie L núm. 119, de 4 de mayo de 2016.
[2] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Publicado en el Diario Oficial serie L núm. 281, de 23 de noviembre de 1995
