REGLAMENTO (UE) 2016/679, DEL PARLAMENTO EUROPEO Y DEL CONSEJO, DE 27 DE ABRIL DE 2016, RELATIVO A LA PROTECCION DE LAS PERSONAS FISICAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES Y A LA LIBRE CIRCULACION DE ESTOS DATOS Y POR EL QUE SE DEROGA LA DIRECTIVA 95/46/CE

Tras varios allos de elaboracion y debate, finalmente el pasado 4 de mayo se publicO el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la proteccion de las personas fisicas en lo que respecta al tratamiento de datos personales y a la libre circulacion de estos datos y por el que se deroga la Directiva 95/46/CE (el "Reglamento").

El Reglamento es la norma de mayor relevancia que se ha adoptado en los 6Itimos arias en el ambito de la proteccion de datos y Ia privacidad. Su principal objetivo es la aplicacion uniforme y coherente del derecho de proteccion de datos en el territorio de Ia Union Europea y unificara en gran medida el marco legal que actualmente es de aplicacion en este ambito.

Las empresas dispondran de un plazo de dos afios desde la publicacion del Reglamento (hasta el 25 de mayo de 2018) para adaptarse a esta nueva norma. Ello no obstante, es importante familiarizarse cuanto antes con este nuevo marco regulatorio, a fin de comprenderlo y asegurar una adecuada transicion.

A continuacion detallamos algunos de los cambios mas relevantes introducidos por el Reglamento:

  1. El ambito territorial de aplicacion del Reglamento alcanza no solo a responsables y encargados establecidos en la Union Europa, sino tambien a los establecidos fuera de Ia Union respecto de los datos personales que traten de residentes en la Union cuando les ofrezcan bienes o servicios en la Union, o controlen su comportamiento en la UniOn.
  2. El consentimiento se define como una "manifestacion de voluntad libre, especifica, informada e inequivoca por la que el interesado acepta, ya sea mediante una declaracion o una clara accion afirmativa, el tratamiento de datos personales que le conciernen". Par lo tanto, se derogara el consentimiento tacit() previsto en la vigente normativa espariola.
  3. Se incorporan a las categorias especiales de datos personales los datos geneticos, los biometricos y los relatives a la orientacion sexual.
  4. Se amplian los aspectos sobre los que hay que informar a los interesados en el momento de recabar sus datos, asi come cuando los datos no se obtienen de ellos directamente. Entre la informacion adicional que debera facilitar el responsable  (a) destaca la siguiente: los datos de contacto del delegado de proteccion de datos, la base juridica del tratamiento, la referencia a las garantias adoptadas en caso de realizarse transferencias de datos a terceros !Daises, el plaza de conservacion de los datos, y el derecho a presentar una reclamacion ante la autoridad de control.
  5. Se amplian tambien los derechos de los interesados, haciendose referencia expresa al derecho al olvido coma parte del derecho de supresion ("cancelacion" en la nomenclatura de la normative espanola), e incluyendose: (a) el derecho a la limitacion del tratamiento, que es el derecho a que el responsable restrinja el uso que hate de los datos (entre otros casos, cuando el tratamiento sea ilicito y el interesado se oponga a la supresiOn); (b) el derecho a la portabilidad de los datos, esto es, el derecho del interesado a recibir del responsable los datos que le incumban en un formato estructurado, de uso com6n y lectura mecanica, y a transmitirlos a otro responsable; y (c) el derecho a oponerse a decisiones basadas unicamente en un tratamiento automatizado, incluyendo la elaboracion de perfiles, que produzcan efectos juridicos en el interesado o le afecten significativamente.
  6. Se establece un regimen de accountability para el responsable del tratamiento, lo que significa que debera establecer medidas que le permitan garantizar y demostrar que el tratamiento de datos que realiza es conforme al Reglamento.
  7. Se recogen expresamente los conceptos de proteccion de datos desde el diselio (el responsable debera adoptar medidas para garantizar el cumplimiento de las obligaciones y principias de proteccion de datos tanta en el momenta de determinar los medios del tratamiento, comp durante el tratamiento) y proteccion de datos por defecto (el responsable debera adoptar medidas para garantizar que, por defecto, solo se traten los datos necesarios para fines concretos).
  8. El responsable debera Ilevar un registro de actividades de tratamiento y lo mantendra a disposicion de la autoridad de control, si bien la obligacion se excepts a en empresas de menos de 250 empleados bajo determinadas circunstancias. El registro contendre, entre otros extremos, una descripcion de las categorias de interesados y categorias de datos, los fines del tratamiento, las categorias de destinatarios, los plazas de supresion de las distintas categorias de datos y las medidas de seguridad. Una de las consecuencias de este registro es que, en el caso de Espana, desaparecere la obligacion de inscripcion de ficheros.
  9. El responsable debera notificar las violaciones de seguridad a la autoridad de control sin dilacion indebida y en el plaza maxima de 72 horas, salvo que el riesgo para los derechos y libertades de los interesados sea improbable. Tambien existe la obligacion de notificar las violaciones de seguridad a los interesados cuando estas entrafien un alto riesgo, previendose no obstante algunas excepciones (entre otras, que se hayan adoptado previamente medidas que hagan ininteligibles los dates para personas no autorizadas).
  10. El responsable debera realizar una evaluacion de impacto de las operaciones de tratamiento en la proteccion de datos personales cuando sea probable que impliquen un alto riesgo para los derechos y libertades de los interesados. Cuando la evaluacion de impact() muestre que el tratamiento entrariaria un alto riesgo si no se toman medidas pare mitigarlo, el responsable debera realizar una consults previa a la autoridad de control para que le asesore.
  11. El Reglamento establece los supuestos en los que el responsable y el encargado deberan designar un delegado de proteccion de datos, que sera una persona con conocimiento especializado en la materia, empleado o no, que participara, supervisara y asesorara en todos los aspectos relacionados con Ia proteccion de datos, sirviendo de punto de contacto con la autoridad de control y los interesados.
  12. Se regula con mayor extension Ia figura del encargo del tratamiento y se imponen obligaciones directas al encargado. Entre estas obligaciones destacan las de asistir al responsable en la atencion de los derechos de los interesados, poner a disposition del responsable la informacion necesaria para demostrar el cumplimiento de sus obligaciones (permitiendo la realization de auditorias), informer inmediatamente al responsable si considera que sus instrucciones infringen la normative de proteccion de datos, !lever un registro de las actividades de tratamiento realizadas por cuenta del responsable, y notificarle las violaciones de seguridad.
  13. El Reglamento promueve la elaboration de codigos de conducta para facilitar la aplicacion y cumplimiento de la normative, asi coma la creation de mecanismos de certification para demostrar el cumplimiento de las obligaciones de proteccion de datos.
  14. Se mantienen las restricciones a las transferencias de datos a terceros paises respecto de los que no exista una decision de adecuacian de Ia Comision, si bien se preve que cuando la transferencia se realice mediante garantias adecuadas (como pueden ser las clausulas tipo adoptadas por la Comision o las normas corporativas vinculantes), no se requerira autorizacion de la autoridad de control.
  15. Cuando un responsable o encargado tenga establecimientos en varios Estados miembros o sea probable que un fluffier° significative de interesados se vean afectados por el tratamiento en mss de un Estado miembro, sera competente la autoridad de control del lugar donde el responsable o el encargado tenga su establecimiento principal (mecanismo de ventanilla unica). La autoridad de control principal contara con los dictamenes de otras autoridades de control interesadas para adopter sus decisiones (mecanismo de cooperation).
  16. Las autoridades de control nacionales seran las que Ileven a cabo la aplicacion del Reglamento, si bien existe un mecanismo de coherencia para garantizar, a traves de Ia intervencion del Comite Europeo de Protection de Datos, una aplicacion coherente del Reglamento en todos los Estados Miembros.
  17. Las sanciones se incrementan notablemente. En particular, el Reglamento preve multas de hasta 2❑ millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, imponiendose la mayor cuantia.