Principales novedades del Reglamento de Protección de Datos de la UE

Protección de datos GDPR
Aunque todavía quedan algunos trámites hasta que el Reglamento General de Protección de Datos (RGPD) se publique en el Diario Oficial de la Unión Europea, y que habrá un período de dos años de adecuación para su aplicación, hay algunas novedades relevantes que pueden ser consideradas desde ya para la toma de decisiones sobre el cumplimiento en materia de protección de datos personales. A continuación se incluyen dichas novedades o cuestiones relevantes:

 

  • Aproximación basada en el riesgo (risk-based approach): el riesgo que implique el tratamiento de datos personales para la persona a la que se refieren será el criterio a considerar para la adopción e implementación de medidas técnicas y organizativas así como, en su caso, designar a un delegado de protección de datos (Data Protection Officer, DPO) o elaborar una evaluación del impacto en la protección de datos.

 

  • Aplicación del Reglamento: también a quienes estando establecidos fuera de la UE dirijan bienes o servicios, que impliquen el tratamiento de datos personales y cuando se den las condiciones necesarias, a personas en el territorio de la Unión Europea.

 

  • Consentimiento claro y afirmativo: lo que implica que, por ejemplo, las casillas pre-marcadas no sean aceptables para obtener un consentimiento válido. Además, el responsable tiene que ser capaz de demostrar que ha obtenido el consentimiento necesario para el tratamiento de los datos.

 

  • Pseudonimización y anonimización: la pseudonimización de los datos personales puede ser considerada una medida a adoptar, si bien las disposiciones del Reglamento seguirán siendo aplicables por el hecho de que es posible identificar a la persona a la que se refieren los datos personales. En el caso de la anonimización, considerando que es irreversible, ya no estaremos ante datos personales y, por tanto, las disposiciones del Reglamento dejan de ser aplicables.

 

  • Nuevas obligaciones: destacando entre las mismas las relativas a la protección de datos desde el diseño (data protection by design) y por defecto (by default), además de la evaluación del impacto para la protección de datos así como la consulta previa a la autoridad de protección de datos, en este último caso si existe un alto riesgo para la persona a la que se refieren los datos en ausencia de la adopción de medidas por el responsable para mitigarlo.

 

  • Nuevos derechos: debiendo prestar especial atención al derecho al olvido, que implica el borrado de los datos personales siempre que se den las condiciones aplicables; el derecho a la portabilidad, de manera que la persona se pueda llevar sus datos personales, o el derecho a saber que se ha producido una fuga de datos personales, además de que el responsable tendrá la obligación de notificar dicha fuga o brecha de seguridad a la autoridad de protección de datos.

 

  • Responsabilidad (“accountability”): que se concreta en que el responsable tenga que adoptar medidas adecuadas y proporcionales al riesgo existente, incluyendo, en su caso, la elección de encargados del tratamiento que aporten garantías suficientes. Al respecto, los códigos de conducta y las certificaciones pueden ser instrumentos adecuados al adoptar medidas para el cumplimiento.

 

  • Sanciones económicas: los incumplimientos podrían conllevar multas de hasta 20 millones de euros o, en el caso de empresas, de hasta el 4% de la facturación total a nivel mundial del año financiero previo, siendo aplicable la suma que sea mayor.

 

Por último, es necesario prestar atención a la ciberseguridad frente a ciberataques en el caso de plataformas de comercio electrónico, buscadores y Servicios de nube, entre otros, puesto que el Parlamento Europeo y el Consejo de la UE avanzan en la publicación de una Directiva al respecto.

 

Miguel Recio Gayo es abogado, Master en Protección de Datos y Master en Propiedad Intelectual