La irrupción en nuestras vidas de la nueva tecnología, de Internet y de todo lo que ello implica hace que ciertas normas queden desfasadas. Así ocurrió con el anterior Reglamento europeo sobre Protección de Datos, que databa de 1995 y que se había quedado claramente obsoleto, sin poder afrontar correctamente todos los peligros que el tratamiento de los datos personales en Internet comporta. Un ejemplo de ello es el gran crecimiento de los ciberdelitos, que se han duplicado en los últimos años. Además, hay que señalar que, según el Ministerio del Interior, un 95% de ellos quedan impunes. Muchos de estos delitos precisamente tienen su origen en un uso ilegal de datos personales.

Todo ello ha motivado a la Unión Europea a redactar un nuevo texto sobre Protección de Datos, que entró en vigor el 25 de mayo de 2016 y que será aplicable exactamente dos años después, el 25 de mayo de 2018. Este nuevo Reglamento pretende, en primer lugar, unificar todas las normativas vigentes en los estados miembros, recogiendo las disposiciones que se refieren a la protección de las personas físicas frente a la divulgación de sus datos personales.

La nueva normativa será aplicable a aquellos responsables o encargados del tratamiento de datos que estén establecidos en la Unión, así como aquellos que no estén establecidos en la misma pero que realicen tratamientos de datos de ciudadanos de la Unión en los ámbitos de oferta de bienes o servicios o monitorización de su comportamiento. Dichas organizaciones deberán nombrar un representante, que será el contacto con las autoridades de la Unión y con los ciudadanos. El reglamento no será de aplicación, en este ámbito, a las autoridades que realicen tratamiento de datos para investigar delitos o para la protección de seguridad pública, y tampoco a la gestión de datos realizada por persona física en el ejercicio de funciones personales o domésticas.

Una de las características principales del nuevo texto es que refuerza el control que las personas tienen sobre sus datos personales, garantizando que se produzca un nivel de protección equivalente en todos y cada uno de los Estados miembros de la Unión Europea.

En cuanto a los derechos que se ven reforzados por el Reglamento, podemos citar los siguientes:

  • Reconoce el conocido como “derecho al olvido”. Es decir, que se puedan eliminar o corregir datos personales. Este derecho recae sobre toda persona que desee que su información personal sea suprimida o que no sea accesible para terceros. Esta norma tiene algunas excepciones importantes. En este sentido, la información no se suprimirá si tiene valor histórico, científico o estadístico, o bien es imprescindible para garantizar la salud pública, para ejercer la libertad de expresión o para cumplir con una obligación o contrato legal.
  • Derecho a acceder en todo momento a los datos personales propios que estén siendo objeto de tratamiento.
  • Derecho a la “portabilidad”. Esto quiere decir que se puedan llevar los datos de un proveedor a otro, que los afectados tengan la capacidad de adquirir su información personal y que luego dicha información sea compatible y pueda ser leída en distintos soportes y sistemas.
  • Derecho a recibir una serie de información previa. Este derecho actúa, por ejemplo, en el sentido de ser avisado de que se va a realizar una portabilidad de los datos personales o de que existe alguna posibilidad de denunciar o reclamar ante las autoridades competentes.
  • Derecho de los padres sobre la circulación de los datos personales de sus hijos menores de 16 años. Así, en este sentido, será necesario el consentimiento parental para que los menores de dicha edad puedan registrarse en redes sociales, tales como Twitter o Facebook. A pesar de ello, todos los países miembros tendrán la posibilidad de reducir dicha edad hasta los 13 años.
  • Derecho de objeción.
  • Derecho a no ser perjudicado por una decisión basada en un procedimiento automatizado, salvo que se adopte en ejecución de un contrato, que la persona ceda su consentimiento o haya sido previsto en la ley.
  • Derecho a que se limite el tratamiento en algunos casos.

Todos estos derechos imponen una serie de obligaciones a las empresas, que tendrán que adaptarse al nuevo marco jurídico. Estas nuevas tecnologías han permitido que las instituciones, pero también las empresas, utilicen los datos de cientos o miles de personas, por ello es tan importante que sigan una serie de reglas que garanticen la protección de los mismos. El nuevo Reglamento establece las siguientes obligaciones:

  • Obligación de demostrar que se obtuvo consentimiento para obtener los datos personales del usuario. Respecto a esta obligación, el consentimiento deberá ser claro, y la empresa deberá utilizar un lenguaje que resulte comprensible y sencillo en las cláusulas que versen sobre la privacidad de los datos personales.
  • Obligación de evaluar los riesgos que pueda tener la privacidad de un producto o servicio antes de su lanzamiento en el mercado.
  • Obligación de mantener una responsabilidad activa. Esto quiere decir que no bastará con actuar después de cometida la infracción, al contrario, se deberán establecer todas las prevenciones que sean necesarias para que las mismas no se produzcan.
  • Obligación de crear la figura del DPO (Data Protection Officer o Delegado de Protección de Datos) en algunos supuestos: organizaciones e instituciones de titularidad pública, empresas cuya actividad principal consista en el tratamiento masivo de datos personales que requieran observación por su alcance o fines o aquellas cuya actividad consista en el tratamiento de datos personales de especial protección (datos religiosos, de afiliación sindical, sexuales, de salud…) o relativos a infracciones y condenas penales.
  • Obligación de informar a la AGPD (Agencia Española de Protección de Datos), que es la autoridad nacional de control, de cualquier filtración de datos. Esta notificación deberá tener lugar en las 72 hora siguientes a su producción. Además, se deberá notificar a los propios afectados, a no ser que los datos se encontrasen cifrados, en cuyo caso esta segunda obligación no se exigirá.

Esto viene acompañado de un endurecimiento general en el régimen de sanciones. Por otro lado, se crea una ventanilla única, que tiene como fin agilizar los trámites. Las empresas solo deberán tratar, aunque actúen en varios países, con la autoridad de aquel en que tengan su matriz o sede central. Se calcula que la ventanilla única supondrá un ahorro de 2.000 millones de euros al año.

Por todo lo expuesto, en este periodo de 2 años hasta su entrada en vigor, tanto las empresas como las instituciones públicas deberán adecuar sus procesos al nuevo régimen legal.