Reglamento General de Protección de Datos

El pasado 24 de mayo de 2016 entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), que modifica algunos aspectos del régimen actual y contiene nuevas obligaciones para los responsables del tratamiento de datos de carácter personal.

El nuevo Reglamento es directamente aplicable desde el 25 de mayo de 2018, de modo que durante estos dos años de periodo transitorio, los responsables y encargados del tratamiento de datos han debido adoptar las medidas necesarias a fin de estar preparados y en condiciones de cumplir con sus previsiones en el momento en que sean de aplicación.

Así, tratándose de una norma directamente aplicable, no se requieren normativas nacionales de transposición, siendo el Reglamento la norma de referencia en la materia.

No obstante, la ley que sustituya a la actual Ley Orgánica de Protección de Datos, a día de hoy todavía en tramitación, podrá incluir precisiones o bien desarrollar las materias que el RGPD permita.

El RGPD deroga la Directiva 95/46/CE del Parlamento Europeo y del Consejo, que trató de armonizar la protección de los derechos y las libertades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos de carácter personal y garantizar la libre circulación de estos datos entre los Estados miembros.

Principio de responsabilidad proactiva

Una de las mayores innovaciones del RGPD es la introducción del principio de responsabilidad proactiva, principio que el Reglamento describe como la necesidad de que el responsable del tratamiento de datos aplique medidas técnicas y organizativas apropiadas a fin de garantizar y acreditar que el tratamiento cumple con los requisitos establecidos reglamentariamente.

Este principio exige una actitud por parte de las organizaciones que sea consciente, diligente y proactiva, de manera que éstas deberán analizar qué datos tratan, con qué finalidad y qué tipo de tratamiento llevan a cabo. Asimismo, realizado dicho análisis, deberán determinar explícitamente la forma en que aplicarán las medidas del RGPD.

A fin de que las organizaciones no actúen únicamente cuando ya se ha producido la infracción, el Reglamento. prevé una serie de medidas basadas en la prevención:

* Protección de datos desde el diseño

* Protección de datos por defecto

* Medidas de seguridad

* Mantenimiento de un registro de tratamientos

* Realización de evaluaciones de impacto sobre la protección de datos

La evaluación de impacto se realizará con carácter previo a la puesta en marcha de tratamientos que puedan conllevar un alto riesgo para los derechos y libertades de los interesados, tales como: - Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar.; - Tratamientos a gran escala de datos sensibles.; - Observación sistemática a gran escala de una zona de acceso público.

* Nombramiento de un delegado de protección de datos

* Promoción de esquemas de conductas y esquemas de certificación

* Notificación de violaciones de la seguridad de los datos

Cuando se produzca una violación de seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente dentro de las 72 horas siguientes, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

Enfoque de riesgo

De acuerdo con el llamado enfoque de riesgo que inspira el RGPD, la aplicación de las medidas deberá adaptarse a las características de la organización de que se trate, es decir, teniendo en cuenta el riesgo para los derechos y libertades de las personas.

Así, el Reglamento prevé que la aplicación de las medidas dependa de factores como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento de los datos presenta para los derechos y libertades de sus titulares.

Por ese motivo, las organizaciones deben realizar un análisis de riesgo de sus tratamientos para determinar las medidas que han de aplicar y cómo hacerlo.

Las Autoridades de protección de datos europeas y la Agencia Española de Protección de Datos han desarrollado herramientas que facilitan la identificación y valoración de riesgos y efectúan recomendaciones sobre la aplicación de medidas, especialmente en relación con pymes que realizan los tratamientos de datos más habituales en la gestión empresarial.

Ámbito de aplicación

El RGPD, al igual que...