Reglamento europeo de Protección de Datos de Carácter Personal. Novedades y repercusión a nivel comunitario
18/05/2016
Por María José Mateo, abogada, Máster en Derecho de la Salud.
El 14 de Abril el Parlamento Europeo aprobó el Reglamento de protección de datos de carácter personal. Su principal objetivo radica en la armonización del marco normativo concerniente a la Protección de Datos de carácter personal, así como incrementar el control que los titulares tienen sobre sus propios datos. Dicho Reglamento sustituye a la Directiva del 95 que había quedado obsoleta al no abarcar gran parte de las controversias y lagunas jurídicas que el desarrollo del entorno digital ha traído consigo respecto a la vulneración del derecho a la privacidad, derecho fundamental que recoge el Artículo 18 de la Constitución Española. El hecho de que se haya decidido por adoptar un Reglamento General para abordar la Protección de datos personales de salud, radica precisamente en esa intención armonizadora que aborda la Unión Europea, ya que hasta ahora la transposición de la Directiva del 95 por parte de los Estados Miembros y su implementación a nivel nacional había generado diferentes enfoques en el tratamiento de datos personales. Precisamente, la necesidad creciente en relación a la libre circulación de bienes, servicios y personas, ha hecho cada vez más patente la necesidad de dicha armonización para que el tránsito transfronterizo no se vea afectado por ordenamientos jurídicos con diferentes soluciones en esta materia.
Cabe señalar, que este Reglamento general sustituirá las leyes nacionales de cada uno de los Estados Miembros en esta materia concreta, si bien, en el caso de España no habrá grandes cambios dado que la línea regulatoria en nuestro país desde la adopción de la LOPD (Ley Orgánica de protección de datos) ha sido acorde a la marcada desde Europa en materia de protección de datos.. Por otra parte, es importante recalcar que tras su publicación en el Diario Oficial Europeo, los Estados Miembros dispondrán de un período transitorio de 2 años para adaptar sus legislaciones a los nuevos cambios. Tras esos dos años el nuevo Reglamento será obligatorio en su totalidad para los Estados Miembros, Empresas con residencia en Europa, y aquellas empresas que traten datos de residentes europeos respecto a servicios ofrecidos dentro de la Unión aunque no tengan residencia en la misma.
Entre las novedades más reseñables, están:
- Las Empresas deberán tener especial cuidado en lo que al tratamiento de datos personales respecta, ya que, entre las novedades del Reglamento se encuentra la obligación de realizar una evaluación de riesgo acerca de las posibles “fisuras” que puedan afectar a la protección de datos personales, así como la obligación de informar sobre las mismas dentro de la actividad normal de su compañía. Esto está íntimamente vinculado al Cumplimiento Normativo y a la exposición de las mismas a posibles responsabilidades económicas, en caso de que se demuestre el incumplimiento de sus deberes en materia de protección de datos.
- La obligación de las Empresas de inscribir los Ficheros en la Agencia Española de Protección de datos se suprime. En su lugar deberán implantar sistemas de control y supervisión interna.
- Se requiere un consentimiento claro e inequívoco del titular de los datos a la hora de tratarlos. En el caso de los datos recabados de fuentes distintas al propio interesado, el plazo máximo que la actual Ley Orgánica de Protección de Datos de carácter personal española establece, es de 3 meses para informar al interesado de sus derechos y del fin para el cual fueron recabados sus datos. El nuevo Reglamento Europeo lo reduce a 1 mes.
- Ya no será necesario inventariar los equipos informáticos, el mobiliario y los soportes como precisaba el reglamento de desarrollo de la LOPD. Bastará con establecer una política de seguridad que garantice mediante unas prácticas de seguridad (identificación, autenticación, accesos, permisos, tratamiento, destrucción de documentos, copias de seguridad, etc. ) que se correspondan adecuadamente a la protección de datos según los riesgos previstos. Además existirán mecanismos de certificación homologados para demostrar que se cumple el Reglamento.
- La inclusión del denominado “Derecho al olvido”, entendiéndose como tal el derecho a modificar o suprimir datos del titular del responsable de los mismos en determinados supuestos. Se informará de tal petición al encargado del tratamiento para que adopte las medidas pertinentes, medidas que deberá adoptar sin dilación siempre cuando sea posible. En caso contrario, deberá demostrar la imposibilidad de hacerlo en ese intervalo de tiempo.
- Se crea el “Consejo Europeo de Protección de Datos” compuesto por miembros de las autoridades europeas de control de todo lo relativo a la protección de datos de carácter personal. Tendrá capacidad para adoptar decisiones de carácter vinculante. Se podrá, además, ejercer el denominado por algunos autores como, principio de Ventanilla única, en virtud del cual, una empresa con varias filiales dentro del territorio de la UE, en caso de tener que acudir, podrá dirigirse a la Autoridad de protección de datos del lugar donde tenga su establecimiento principal.
- En cuanto al régimen sancionador, (no debemos olvidar que España es el país de la Unión que cuenta con sanciones económicas más altas cuando hablamos de vulneración de la legislación de protección relativa a datos de carácter personal). El nuevo Reglamento endurece las sanciones previstas anteriormente, pudiendo alcanzar cantidades de hasta 20 millones de Euros o incluso multas de hasta el 4% de la facturación global de una Compañía.
- Una de las novedades más significativas tiene que ver con la creación de una nueva figura, el “Delegado de Protección de datos” (DPO, por sus siglas en inglés). Su nombramiento será obligatorio en empresas que traten habitualmente gran cantidad de datos de carácter personal en su actividad normal así como para organismos públicos, salvo tribunales y órganos jurisdiccionales. Debe garantizarse la independencia en su cometido y podrá formar parte de la plantilla de la empresa o ajeno a la misma mediante la formalización de un contrato de obra y servicio. Su función principal será la de supervisión y asesoramiento legal en materia de Protección de datos de carácter personal conforme a la normativa aplicable.
Sin embargo, el Parlamento europeo, no se ha frenado ahí. Debido a los acontecimientos sucedidos, tras los atentados islamistas se han apresurado adoptar una serie de disposiciones que tienen mucho que ver con esta problemática. Entre ellas el Parlamento Europeo ha aprobado:
- Primero, la Directiva cuyo objetivo es la transmisión de datos de carácter personal para cuestiones policiales y judiciales. De esta forma, se establecen unos límites al tratamiento de datos de aquellas personas intervinientes en un proceso judicial. El establecimiento de unos estándares mínimos a la hora de intercambiar datos de este carácter entre los cuerpos policiales nacionales, facilita las labores de investigación en esta materia. Hasta este momento algunos países eran reacios a compartir cierta información por cuestiones de seguridad.
- Segundo, la creación del Registro de pasajeros aéreos que no afecta a vuelos intracomunitarios, pero que en cambio, obliga a las compañías aéreas con vuelos entre la UE y terceros países a aportar la información relativa a los datos de sus pasajeros. Información que las autoridades competentes mantendrán durante un tiempo determinado que en este caso ha quedado establecido en 5 años quedando “codificada” durante los primeros 6 meses.
[:]