Nuevo Reglamento Europeo de Protección de Datos
El pasado 14 de abril de 2016 entró en vigor el Reglamento Europeo de Protección de Datos aprobado por el Parlamento Europeo: http://register.consilium.europa.eu/doc/srv?f=ST+5853+2012+INIT&l=es
Este Reglamento, de aplicación directa en todos los Estados miembros de la unión Europea, prevé un periodo transitorio de dos años para su adopción desde su entrada en vigor, por tanto significa que en España será obligatorio a partir de mayo de 2018. Dicho reglamento requerirá, en la práctica, actualizar y adoptar nuevos procedimientos en documentación e información a usuarios y empleados, así como el contenido de los contratos con los encargados de tratamiento. Los aspectos más relevantes que debemos considerar son los siguientes:
Derechos ARCO
Los derechos de Acceso, rectificación, cancelación, oposición (ARCO) que existen en la actualidad se ven ampliados con los nuevos derechos de limitación, portabilidad y borrador de los datos (El llamado “Derecho al olvido”), que implica:
– El derecho al “olvido”, mediante la rectificación o supresión de datos personales.
- La necesidad de “consentimiento claro y afirmativo” de la persona concernida al tratamiento de sus datos personales.
- La “portabilidad”, o el derecho a trasladar los datos a otro proveedor de servicios.
- El derecho a ser informado si los datos personales han sido pirateados.
- Lenguaje claro y comprensible sobre las cláusulas de privacidad.
Encargados de Tratamiento
Aumentan las obligaciones y los requisitos formales con los encargados del Tratamiento: Deberemos incluir un procedimiento de control y registro.
Evaluación del riesgo en protección de Datos
Se establece la obligación de evaluar el impacto del riesgo de protección de datos en determinados casos, como los de nivel alto, de los que permitan la creación de perfiles
Responsable de Protección de Datos
De forma similar a la figura de Compliance Officer u oficial de cumplimiento establecida en el código penal para las personas jurídicas, se establece la necesidad de designar un responsable formal en materia de protección de datos con un nuevo marco de responsabilidad y nivel en la organización, junto con la obligación de acreditar la debida formación en el mencionado reglamento. Deberá disponer de un canal de comunicación interno con los requisitos de confidencialidad, independencia y control.
Transferencias internacionales de Datos personales
Se establecen nuevos requisitos para la gestión de operaciones que implique transferencia de datos personales.
Sanciones
Desaparece la graduación de sanciones y se incrementan las multas, otorgándose a los Estados miembros la posibilidad de imponer sanciones penales.
Como hemos apuntado, la aplicación del nuevo texto no será efectiva hasta el año 2018. El Reglamento establece un período transitorio y está previsto que no sea aplicable hasta dos años después de la fecha de entrada en vigor (que se produce a los 20 días de su publicación en el Diario Oficial de la Unión Europea). Los países comunitarios disponen de un plazo de dos años para trasladar los cambios de la directiva a la legislación nacional.
En el caso de Reino Unido e Irlanda, la directiva sobre intercambio de datos para fines policiales y judiciales sólo se aplicará de manera limitada. Dinamarca podrá decidir en seis meses tras su adopción definitiva si quiere trasladar la directiva a la ley nacional.
Aunque el periodo transitorio es de dos años, entendemos que es importante tener en cuenta su contenido, pues las empresas están en estos momentos evaluando riesgos en el ámbito penal de acuerdo con el establecimiento de un plan de prevención de riesgos penales y el cumplimiento de los requisitos establecidos por el Código Penal español en relación a dicho modelo de prevención.
Dir. Gral de JDA / SFAI Spain