Finalmente, después de su aprobación el pasado 14 de abril del 2016, el texto del ya identificado como nuevo Reglamento Europeo de Protección de Datos o Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, del 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, ha sido publicado el 5 de mayo del 2016. A partir de esta fecha empiezan a correr los plazos fijados en el propio texto: los veinte días desde su publicación para la entrada en vigor prevista, por tanto, para el próximo 25 de mayo del 2016 y el periodo transitorio de dos años con vencimiento el 25 de mayo del 2018 en relación con su aplicación.

El nuevo reglamento europeo está compuesto por un total de 173 considerandos y 99 artículos repartidos en 11 capítulos, deroga la Directiva 95/46 y tiene como objeto, por un lado, reforzar el derecho de protección de datos de las personas físicas y, por otro, mejorar las oportunidades de las entidades en el contexto del conocido como mercado único digital.

Después del largo tiempo de tramitación y los cambios que el texto ha sufrido mientras tanto, no cabe sino centrarnos en los principales aspectos o novedades que las entidades que actúen como responsables o encargadas del tratamiento deberán tener en cuenta de acuerdo con lo previsto en el reglamento europeo. De ahí que, a modo de decálogo, se señalen a continuación las novedades introducidas por la nueva norma que pueden resultar de interés para las entidades que llevan a cabo tratamientos de datos:

1. Ámbito de aplicación territorial

Se prevé que el reglamento resulte de aplicación, por un lado, al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado localizado en la Unión, independientemente de que tal tratamiento tenga lugar en la Unión o no, y, por otro, al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en ella, cuando las actividades de dicho tratamiento estén relacionadas con:

  1. la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a éstos se les requiere su pago;
  2. o el control de su comportamiento en la medida en que éste tenga lugar en la Unión.

Igualmente se aplicará al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión, sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

2. Información y consentimiento

Los responsables deberán revisar, a efectos de garantizar lo previsto en la nueva norma, los procesos informativos y de transparencia respecto al usuario para reforzarlos aún más si cabe, en la medida en la que la información que se ofrece debe ser clara, transparente y de fácil acceso. Los encargados del tratamiento tendrán que asumir nuevas obligaciones directas relativas a las medidas de seguridad y, en su caso, a la notificación de brechas.

3. Nuevos derechos: derecho a la supresión (derecho al olvido), derecho a la portabilidad y a la limitación en el tratamiento de datos

Las entidades tendrán que adaptar sus procesos internos a los nuevos derechos reconocidos por el reglamento, en concreto, al derecho a la supresión (derecho al olvido) o derecho al borrado de datos cuando no sea pertinente, al derecho a la portabilidad o derecho a recibir los datos de un responsable y transmitirlo a otro y al derecho a la limitación en el tratamiento de los datos sujeto al cumplimiento de algunas condiciones, ente otras, por ejemplo, cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones.

4. Nuevos principios: accountability, privacy by design y privacy by default

Tres son los nuevos principios a los que se refiere la norma europea: accountability o principio de control, rendición de cuentas y diligencia debida; privacy by design o implementar medidas y procedimientos técnicos y organizativos apropiados para garantizar el cumplimiento normativo y la protección de los derechos de los interesados; y, en su caso, garantizar por defecto el tratamiento de datos para fines concretos o privacy by default.

5. Registro de las actividades de tratamiento

Entre las novedades que se encuentran en la norma europea se halla la creación de un Registro de Actividades de Tratamiento, lo que implica que cada responsable y, en su caso, el representante o encargado del tratamiento deberá tener un registro de las actividades de tratamiento efectuadas bajo su responsabilidad que contenga una serie de información que el propio reglamento fija.

6. Notificación de una violación de la seguridad de los datos personales a la autoridad de control

En caso de violación de la seguridad de los datos personales, también conocida como brecha de seguridad, el responsable del tratamiento deberá proceder a notificarla a la autoridad de control competente sin dilación indebida y, de ser posible, a más tardar, 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

7. Evaluaciones de impacto

Las evaluaciones de impacto se configuran como un ejercicio de análisis de los riesgos de un determinado sistema de información, producto o servicio para afrontar la gestión eficaz de riesgos identificados mediante la adopción de las correspondientes medidas. El reglamento se refiere a su ejecución cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

8. Delegado de protección de datos

La designación del delegado de protección de datos resulta facultativa, salvo para aquellos casos en los que:

  1. el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  2. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su uraleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala;
  3. o las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

9. Transferencias internacionales de datos

Teniendo en cuenta los recientes cambios producidos en esta materia, habrá que revisar las transferencias de datos, sobre todo las realizadas a los Estados Unidos de América sobre la base del nuevo acuerdo denominado «Privacy Shield».

10. Sanciones

Evidentemente, las compañías tendrán que tener presente el nuevo régimen sancionador que, según la infracción, puede suponer multas por importe de 20 000 000 euros como máximo o de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio anterior, optándose por la de mayor cuantía. Sin duda, se abre para las empresas que actúan como responsables o encargadas del tratamiento todo un proceso de revisión y adaptación de sus sistemas y políticas a efectos de garantizar el cumplimiento de lo previsto en el nuevo Reglamento Europeo de Protección de Datos.