Reglamento europeo de Protección de Datos de Carácter Personal. Novedades y repercusión a nivel comunitario

mayo 18, 2016

18/05/2016

Por María José Mateo, abogada, Máster en Derecho de la Salud.

El 14 de Abril el Parlamento Europeo aprobó el Reglamento de protección de datos de carácter personal. Su principal objetivo radica en la armonización del marco normativo concerniente a la Protección de Datos de carácter personal, así como incrementar el control que los titulares tienen sobre sus propios datos. Dicho Reglamento sustituye a la Directiva del 95 que había quedado obsoleta al no abarcar gran parte de las controversias y lagunas jurídicas que el desarrollo del entorno digital ha traído consigo respecto a la vulneración del derecho a la privacidad, derecho fundamental que recoge el Artículo 18 de la Constitución Española. El hecho de que se haya decidido por adoptar un Reglamento General para abordar la Protección de datos personales de salud, radica precisamente en esa intención armonizadora que aborda la Unión Europea, ya que hasta ahora la transposición de la Directiva del 95 por parte de los Estados Miembros y su implementación a nivel nacional había generado diferentes enfoques en el tratamiento de datos personales. Precisamente, la necesidad creciente en relación a la libre circulación de bienes, servicios y personas, ha hecho cada vez más patente la necesidad de dicha armonización para que el tránsito transfronterizo no se vea afectado por ordenamientos jurídicos con diferentes soluciones en esta materia.

Cabe señalar, que este Reglamento general sustituirá las leyes nacionales de cada uno de los Estados Miembros en esta materia concreta, si bien, en el caso de España no habrá grandes cambios dado que la línea regulatoria en nuestro país desde la adopción de la LOPD (Ley Orgánica de protección de datos) ha sido acorde a la marcada desde Europa en materia de protección de datos.. Por otra parte, es importante recalcar que tras su publicación en el Diario Oficial Europeo, los Estados Miembros dispondrán de un período transitorio de 2 años para adaptar sus legislaciones a los nuevos cambios. Tras esos dos años el nuevo Reglamento será obligatorio en su totalidad para los Estados Miembros, Empresas con residencia en Europa, y aquellas empresas que traten datos de residentes europeos respecto a servicios ofrecidos dentro de la Unión aunque no tengan residencia en la misma.

Entre las novedades más reseñables, están:

Las Empresas deberán tener especial cuidado en lo que al tratamiento de datos personales respecta, ya que, entre las novedades del Reglamento se encuentra la obligación de realizar una evaluación de riesgo acerca de las posibles “fisuras” que puedan afectar a la protección de datos personales, así como la obligación de informar sobre las mismas dentro de la actividad normal de su compañía. Esto está íntimamente vinculado al Cumplimiento Normativo y a la exposición de las mismas a posibles responsabilidades económicas, en caso de que se demuestre el incumplimiento de sus deberes en materia de protección de datos.
La obligación de las Empresas de inscribir los Ficheros en la Agencia Española de Protección de datos se suprime. En su lugar deberán implantar sistemas de control y supervisión interna.
Se requiere un consentimiento claro e inequívoco del titular de los datos a la hora de tratarlos. En el caso de los datos recabados de fuentes distintas al propio interesado, el plazo máximo que la actual Ley Orgánica de Protección de Datos de carácter personal española establece, es de 3 meses para informar al interesado de sus derechos y del fin para el cual fueron recabados sus datos. El nuevo Reglamento Europeo lo reduce a 1 mes.
Ya no será necesario inventariar los equipos informáticos, el mobiliario y los soportes como precisaba el reglamento de desarrollo de la LOPD. Bastará con establecer una política de seguridad que garantice mediante unas prácticas de seguridad (identificación, autenticación, accesos, permisos, tratamiento, destrucción de documentos, copias de seguridad, etc. ) que se correspondan adecuadamente a la protección de datos según los riesgos previstos. Además existirán mecanismos de certificación homologados para demostrar que se cumple el Reglamento.
La inclusión del denominado “Derecho al olvido”, entendiéndose como tal el derecho a modificar o suprimir datos del titular del responsable de los mismos en determinados supuestos. Se informará de tal petición al encargado del tratamiento para que adopte las medidas pertinentes, medidas que deberá adoptar sin dilación siempre cuando sea posible. En caso contrario, deberá demostrar la imposibilidad de hacerlo en ese intervalo de tiempo.
Se crea el “Consejo Europeo de Protección de Datos” compuesto por miembros de las autoridades europeas de control de todo lo relativo a la protección de datos de carácter personal. Tendrá capacidad para adoptar decisiones de carácter vinculante. Se podrá, además, ejercer el denominado por algunos autores como, principio de Ventanilla única, en virtud del cual, una empresa con varias filiales dentro del territorio de la UE, en caso de tener que acudir, podrá dirigirse a la Autoridad de protección de datos del lugar donde tenga su establecimiento principal.
En cuanto al régimen sancionador, (no debemos olvidar que España es el país de la Unión que cuenta con sanciones económicas más altas cuando hablamos de vulneración de la legislación de protección relativa a datos de carácter personal). El nuevo Reglamento endurece las sanciones previstas anteriormente, pudiendo alcanzar cantidades de hasta 20 millones de Euros o incluso multas de hasta el 4% de la facturación global de una Compañía.
Una de las novedades más significativas tiene que ver con la creación de una nueva figura, el “Delegado de Protección de datos” (DPO, por sus siglas en inglés). Su nombramiento será obligatorio en empresas que traten habitualmente gran cantidad de datos de carácter personal en su actividad normal así como para organismos públicos, salvo tribunales y órganos jurisdiccionales. Debe garantizarse la independencia en su cometido y podrá formar parte de la plantilla de la empresa o ajeno a la misma mediante la formalización de un contrato de obra y servicio. Su función principal será la de supervisión y asesoramiento legal en materia de Protección de datos de carácter personal conforme a la normativa aplicable.

Sin embargo, el Parlamento europeo, no se ha frenado ahí. Debido a los acontecimientos sucedidos, tras los atentados islamistas se han apresurado adoptar una serie de disposiciones que tienen mucho que ver con esta problemática. Entre ellas el Parlamento Europeo ha aprobado:

Primero, la Directiva cuyo objetivo es la transmisión de datos de carácter personal para cuestiones policiales y judiciales. De esta forma, se establecen unos límites al tratamiento de datos de aquellas personas intervinientes en un proceso judicial. El establecimiento de unos estándares mínimos a la hora de intercambiar datos de este carácter entre los cuerpos policiales nacionales, facilita las labores de investigación en esta materia. Hasta este momento algunos países eran reacios a compartir cierta información por cuestiones de seguridad.
Segundo, la creación del Registro de pasajeros aéreos que no afecta a vuelos intracomunitarios, pero que en cambio, obliga a las compañías aéreas con vuelos entre la UE y terceros países a aportar la información relativa a los datos de sus pasajeros. Información que las autoridades competentes mantendrán durante un tiempo determinado que en este caso ha quedado establecido en 5 años quedando “codificada” durante los primeros 6 meses.

[:]

Cookie	Duración	Descripción
cookielawinfo-checkbox-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesarias".
cookielawinfo-checkbox-non-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "No necesarias".
viewed_cookie_policy	11 meses	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
YSC	1	Cookie de sesión	Estas cookies son establecidas por Youtube y se utilizan para rastrear las vistas de videos incrustados.
_gat	0	1 minuto	Google Universal Analytics instala estas cookies para acelerar la tasa de solicitud y limitar la recopilación de datos en sitios de alto tráfico.
_gat_UA-78467836-1	0	1 minuto	Esta es una cookie de tipo de patrón establecida por Google Analytics, donde el elemento de patrón en el nombre contiene el número de identidad único de la cuenta o sitio web con el que se relaciona. Parece ser una variación de la cookie _gat que se utiliza para limitar la cantidad de datos registrados por Google en sitios web de alto volumen de tráfico.

Cookie	Tipo	Duración	Descripción
test_cookie	0	11 meses	Utilizada para comprobar si el navegador del usuario admite cookies.
vchideactivationmsg_vc11	0	9 meses	Permite enviar mensajes desde el formulario de contacto

Cookie	Tipo	Duración	Descripción
IDE	1	2 years	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID	1	6 months	This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE	1	5 months	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
GPS	30 minutos	Youtube establece esta cookie y registra una identificación única para rastrear a los usuarios según su ubicación geográfica.
_ga	2 años	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y realizar un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan información de forma anónima y asignan un número generado aleatorio para identificar visitantes únicos.
_gid	1 día	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información sobre cómo los visitantes usan un sitio web y ayuda a crear un informe analítico de cómo está funcionando el sitio web. Los datos recopilados, incluido el número de visitantes, la fuente de donde provienen y las páginas, se muestran de forma anónima.