El pasado 24 de enero, la Comisión Europea emitió una comunicación sobre la inminente entrada en vigor, el 25 de mayo de 2018, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”). Dicha comunicación recuerda que el objeto del RGPD es la aplicación uniforme de las reglas de protección de datos en toda la Unión Europea y que el Reglamento es una norma de aplicación directa.

Las principales modificaciones que el RGPD introduce en relación con el tratamiento de datos personales respecto de la regulación actual en España –contenida, principalmente, en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (“LOPD”)-, son las siguientes:

  • El RGPD puede resultar de aplicación a empresas no establecidas en la Unión Europea (por ejemplo, cuando se efectúe una oferta de bienes o servicios destinada a ciudadanos de la Unión).
  • Se establece un “principio de responsabilidad proactiva” que impone al responsable del tratamiento, la obligación de estar en condiciones de demostrar que cumple con las previsiones normativas en materia de protección de datos. Esto se materializa en las exigencias, según los casos, de mantener un Registro de Actividades de Tratamiento (que sustituye a la anterior obligación de inscribir ficheros ante la Agencia Española de Protección de Datos); de analizar los riesgos de futuros sistemas de información, productos o servicios mediante las Evaluaciones de Impacto, o de nombrar a un Delegado de Protección de Datos.
  • El RGPD exige que se proporcione al interesado determinada información sobre el tratamiento de sus datos personales, adicional a la que se exige hasta el momento por la LOPD. Por ejemplo, va a ser necesario indicar la base jurídica o legitimación del tratamiento de datos personales o los plazos o criterios de conservación de la información.
  • Se endurecen los requisitos del consentimiento de los afectados para emplear sus datos personales, ya que se exige una declaración o acción afirmativa, no siendo válido a partir de ahora, el consentimiento tácito otorgado mediante el silencio o la inacción.
  • La regulación de los encargados del tratamiento, esto es, los terceros que acceden a los datos personales para prestar un servicio por cuenta del responsable, sufre modificaciones relevantes por cuanto quedan sujetos al control de las autoridades de protección de datos y sus contratos con los responsables deben incluir unas determinadas cláusulas adicionales a las exigidas hasta el momento.
  • Aparte de los derechos recogidos en la LOPD, el RGPD establece nuevos derechos para los interesados, como el derecho al olvido, a la portabilidad, a la limitación del tratamiento y a oponerse a decisiones basadas únicamente en tratamientos automatizados.
  • Aunque las bases del régimen de transferencias de datos personales a países terceros se mantienen, su regulación sufre novedades importantes a tener en cuenta en su gestión, ya que en determinados supuestos, ya no se requerirá autorización de la autoridad de control.
  • El régimen de sanciones se actualiza, incrementándose notablemente, con sanciones administrativas de hasta 20 millones de euros o el 4% del volumen de negocio total anual global durante el ejercicio anterior.

El RGPD contiene muchos principios similares a los establecidos por la LOPD, por lo que algunas medidas implantadas para el cumplimiento de la normativa actual siguen siendo válidas. No obstante, el RGPD supone modificaciones sustanciales y la introducción de nuevos conceptos y obligaciones, que requieren de un análisis de la situación en cada empresa y la adopción de acciones para asegurar el cumplimiento de esta nueva normativa, en particular, en relación con lo siguiente:

  • La necesidad de que la empresa establezca un Registro de Tratamiento de Datos.
  • La revisión y actualización de los procedimientos de obtención del consentimiento de los interesados.
  • La adopción y revisión de procedimientos, modelos o formularios empleados para la recogida de datos personales, con actualización de las cláusulas de información correspondientes.
  • La revisión de los contratos suscritos con terceros que accedan a datos personales por cuenta de la empresa o en los que la empresa actúe como encargado del tratamiento.
  • El análisis de la adaptación al RGPD de las transferencias de datos personales a otros países.
  • La revisión o preparación de protocolos para gestionar las reclamaciones y solicitudes de ejercicio de derechos de los interesados.
  • El establecimiento de políticas para dar cumplimiento a otras obligaciones del RGPD.

Ante la inminencia de estos cambios legales, las empresas deben establecer un plan de acción, con el correspondiente asesoramiento legal, para prevenir riesgos relacionados con esta normativa.