El Parlamento Europeo aprobó el pasado 14 de abril el Reglamento General de Protección de Datos (en lo sucesivo “RGPD”), por el cual se actualiza y adecúa al entorno digital la legislación en materia de protección de datos de la Unión Europea. Tras la aprobación del Parlamento, la propuesta será adoptada formalmente por el Consejo, siendo publicado en el Diario Oficial de la UE.
¿Por qué es importante?
El RGPD es importante porque constituye un nuevo marco normativo en el ámbito de protección de datos común a todos los Estados de la Unión Europea. Esto supone que las empresas o profesionales que cuenten con establecimientos en la Unión o que traten datos personales de ciudadanos europeos deberán adaptarse a esta nueva normativa.
¿En qué consiste?
El RGPD regula los principios rectores por los que se debe regir el tratamiento de datos personales, los derechos de los ciudadanos titulares de tales datos y las obligaciones que se deben cumplir para tratarlos.
Muchos de estos principios y derechos ya se recogían en la normativa vigente hasta ahora, como por ejemplo el principio de calidad de datos o la obligación de recabar el consentimiento informado para tratar datos personales. No obstante, el RGPD no se limita a desarrollar y adaptar la normativa anterior a un escenario digital, sino que también introduce una serie de obligaciones con las que las empresas europeas deberán familiarizarse. Entre estas obligaciones las más destacables son:
- Privacidad desde el diseño y por defecto. Consiste en la aplicación de medidas técnicas y organizativas que garanticen un tratamiento seguro de los datos personales en nuevos sistemas, procesos y servicios desde su diseño, debiendo ser además, la configuración de la privacidad por defecto de dichos sistemas, procesos y servicios lo más restrictiva posible atendiendo a la finalidad del tratamiento del dato.
- Llevanza de un registro de tratamientos de datos. Esta obligación sustituye a la obligación de notificación de ficheros. No obstante, lejos de ser un alivio de obligaciones, el alcance de este registro es más detallado y exhaustivo que su predecesor.
- Implementación de medidas que garanticen la seguridad del tratamiento de los datos y notificación de violaciones de seguridad en el plazo de 72 h.
- Evaluación de impacto de los tratamientos de datos personales y, en su caso, consulta previa a la Autoridad correspondiente.
- Designación, en determinados supuestos de un Delegado de Protección de Datos.
Cumplimiento y sanciones
El RGPD introduce el principio de “responsabilidad proactiva”, el cual consiste en que las empresas no solo son responsables de cumplir con los principios dispuestos en el Reglamento, sino que además están obligadas a poder demostrar dicho cumplimiento o diligencia debida en el tratamiento datos personales.
En lo que a sanciones se refiere, el RGPD prevé sanciones de hasta 20 millones de euros o el 4% de la facturación general anual.