Principales novedades del Reglamento Europeo de Protección de Datos.
Aunque entró en vigor el 25 de mayo de 2016, el próximo 25 de mayo comienza a ser directa y efectivamente aplicable el Reglamento Europeo de Protección de Datos. Este desfase temporal tenía como objetivo permitir que los estados y las instituciones de la Unión Europea y también las organizaciones que tratan datos personales fueran, preparándose y adaptándose a dicho momento.
Novedades, principios y directrices:
Consentimiento para tratar datos personales: El Reglamento impone que el consentimiento para tratar datos personales, con carácter general, sea libre, informado, específico e inequívoco. El consentimiento debe presentarse mediante una acción positiva del interesado, es decir, no será válido como hasta ahora el consentimiento tácito. Por otro lado, para datos sensibles (origen étnico, opiniones políticas, salud, orientación sexual) se requiere un consentimiento explícito, es decir, que la declaración se refiera de forma explícita al consentimiento y al tratamiento en cuestión.
Derecho al olvido y derecho a la portabilidad: ambos mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros. El derecho al olvido supone que los interesados puedan solicitar respecto a los datos que a ellos se refieren y resulten obsoletos, incompletos, falsos, irrelevantes y sin interés público, el bloqueo de los resultados de los buscadores en internet. Por su parte, el derecho a la portabilidad implica que el interesado puede solicitar a la entidad que está tratando sus datos, su recuperación en un formato que permita su traslado a otra entidad, incluso de forma directa. Pensemos en los sistemas de computación en nube o cloud computing.
El principio de responsabilidad activa (accountability): que viene a imponer al responsable y al encargado del tratamiento, estar en condiciones de demostrar que cumple con las previsiones normativas en materia de protección de datos de carácter personal. Según el RGPD, el responsable debe adoptar medidas apropiadas, incluida la elección de encargados, de tal forma que garantice y esté en condiciones de probar que el tratamiento de datos se está realizando conforme a lo que establece el Reglamento Europeo.
Nombramiento de un delegado de Protección de Datos:
El Reglamento Europeo incorpora como otra gran novedad la figura del Delgado de Protección de Datos, o DPO, por sus siglas en inglés (Data protección Officer).
No siempre va a ser necesario en una organización contar con un DPO. El Reglamento señala determinados supuestos en los que sí será obligatorio:
1. Cuando el tratamiento lo lleve a cabo una entidad pública. Se exceptúan los juzgados y tribunales que actúen en ejercicio de su función judicial.
2. Entidades de naturaleza privada que realicen tratamientos de datos especiales a gran escala atendiendo a su naturaleza, alcance y fines; o atendiendo a las categorías especiales de datos que se tratan.
Spanish