Tras la publicación el pasado 4 de mayo de 2016 del Reglamento Europeo de protección de datos, tanto profesionales como organismos públicos implicados, nos hemos planteado qué tipo de relación de convivencia se producirá entre la nueva normativa, que entrará en vigor el 25 de mayo de 2018, y nuestra legislación en la materia, concretamente, con la LOPD y el RD 1720/2007.
Análisis del Reglamento de la Unión Europea en Protección de Datos
Si pasamos a analizar el Reglamento de la UE, nos damos cuenta que en su articulado efectúa numerosas remisiones a la normativa interna de cada país, eso nos hace pensar que el Reglamento presupone la pervivencia de las normativas internas tras su entrada en vigor en todas aquellas materias y circunstancias que no ha entrado a abordar.
La Directora de la Agencia Española de Protección de Datos, Mar España, en el IV Congreso de regulación publicitaria digital, comunicaba que en estos primeros meses de 2017 el Gobierno presentaría el proyecto de Ley de adaptación de la LOPD al Reglamento europeo, si bien, no amplió la información sobre los aspectos concretos que se tratarían en esta nueva norma, sí que mencionó unos temas que cabía destacar como relevantes, siendo los siguientes:
- La necesidad de consentimiento del titular de los datos para su tratamiento. Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco, esto es que no se considerarán válidos los consentimientos tácitos o por omisión. Esto hará necesario que las Empresas revisen sus políticas de recepción del consentimiento.
- Los modelos sobre la información que el Responsable del Fichero o tratamiento debe facilitar al interesado, que variará según si los datos a tratar hayan sido obtenidos o no de dicho interesado, pero que, en todo caso, amplía las exigencias actuales de la LOPD.
- Los criterios de certificación para el ejercicio del cargo de Delegado de protección de datos (DPO). Este profesional, de perfil jurídico y experto en derecho de protección de datos, será el intermediario entre el responsable del fichero, el encargado del tratamiento y las autoridades encargadas de controlar el cumplimiento de la ley.
Si bien, en esta ocasión, la Directora de la AEPD no dio más datos sobre las modificaciones que en breve deberán adaptarse en nuestro sistema legal, a través de su página web la Agencia sí pone atención en una serie de cuestiones importantes, que nos facilitan, a los profesionales en materia de Protección de Datos, ir adecuando los sistemas de protección de datos de las empresas clientes a los nuevos requerimientos.
Cuestiones importantes sobre el nuevo sistema legal del Reglamento de Protección de Datos
En primer lugar, debemos destacar que el Reglamento se seguirá aplicando a las empresas Responsables de tratamiento, establecidas en la Unión Europea, se amplía el ámbito de aplicación de forma que se vincularán a las disposiciones del Reglamento aquellas empresas que estando fuera de la UE, sus bienes y servicios están siendo ofrecidos a los ciudadanos de la UE, siendo el ejemplo paradigmático de Internet, suponiendo una garantía adicional.
El Reglamento, además, introduce nuevos elementos, como el derecho al olvido (solicitar la supresión de datos antiguos cuando ya no responden a una finalidad lícita o se retira el consentimiento) y el derecho a la portabilidad (recuperar los datos que fueron entregados a un responsable, en su momento, en un formato que le permita su traslado a otro responsable), que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.
Uno de los aspectos esenciales del Reglamento, es que basa la aplicación de las políticas de protección de datos en el principio de prevención por parte de las empresas u organizaciones que tratan datos, esto es así porque se entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente, dado que esas infracciones han podido causar daños a los interesados que pueden ser muy difíciles o imposibles de compensar o reparar.
¿Cuándo entrará en vigor el nuevo Reglamento Europeo de Protección de Datos?
En todo caso, la aplicación del Reglamento no supondrá una mayor carga de responsabilidades a las empresas, pero sí que se basará en un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. En muchos casos, habrá que variar la forma de gestionar la protección de datos en las entidades, pero será trabajo del profesional que realice la implantación que no suponga, en ningún caso, una carga adicional o un impedimento para realizar las actividades propias de la empresa.
Como ya hemos dicho, el periodo de vacatio legis en el caso del Reglamento es muy extenso, hasta mayo de 2018, estrictamente, no será de obligado cumplimiento, sin embargo, es muy útil para las empresas obligadas a cumplir con la normativa de LOPD empezar a implantar las medidas de seguridad previstas en el Reglamento, ya que la mayor parte de las disposiciones no son contrarias a la LOPD, sino que, muy al contrario, se complementan. Es positivo contar con un sistema de protección de datos que armonice ambas normativas, la ventaja evidente, además de estar seguros de cumplir al 100% la Ley cuando haya llegado la entrada en vigor, será la de poder corregir a tiempo los errores de la puesta en marcha de una implantación así como analizar su eficacia y nivel de adaptación en las empresas clientes.
