El pasado 25 de mayo de 2016 entró en vigor el Nuevo Reglamento de Protección de Datos europeo. La publicación de este texto normativo ha supuesto importantes dudas y consultas sobre su validez, implicaciones y aplicación para las empresas. En este sentido, algunas de las principales dudas surgidas ha estado relacionada con el hecho de si realmente el nuevo reglamento supone que la actual Ley de Protección de Datos deja de tener vigencia.
En este sentido, la Agencia Española de Protección de Datos es muy clara. Este reglamento y su entrada en vigor no supone que deje de estar vigente la normativa en protección de datos en España ni que la Directiva 95/46 deje de estar vigente. Lo que sí que implica este nuevo texto es la necesidad de que las empresas que están afectadas por la normativa realicen las adaptaciones necesarias para cumplir con lo establecido por el Nuevo Reglamento.
Reglamento de protección de datos
De hecho, se concede un periodo transitorio de 2 años para ello, que finaliza el 25 de mayo de 2018. A partir de ese momento, la única referencia normativa en materia de protección de datos será el reglamento y las normas emanadas de los Estados Miembros para facilitar la aplicación del reglamento.
Dejando claro este aspecto para todas las empresas afectadas, otra duda habitual es la relativa a cuáles son las novedades que el nuevo reglamento introduce para las empresas. Se resumen a continuación estas novedades:
- Una primera novedad importante es la ampliación de su ámbito de aplicación. Además de ser una normativa que se aplica a los responsables o encargados del tratamiento de datos en la Unión Europea, también los será a los responsables y encargados que no estén establecidos en la UE pero que hagan el tratamiento de datos como consecuencia de una oferta de bienes o servicios dirigidos a ciudadanos de la Unión Europea. Esto implica que las empresas u organizaciones deben nombrar un representante de la Unión en esta materia.
- Se incorpora lo que se conoce como el derecho al olvido. Esto implica que los usuarios pueden solicitar que sus datos sean suprimidos cuando ya no son necesarios para la finalidad para la que han sido autorizados, cuando se haya retirado el consentimiento o bien cuando se hayan obtenido de forma ilícita.
- Incorpora la responsabilidad activa. Esta responsabilidad activa implica que los gestores de datos deben prever las medidas a adoptar aun cuando no se haya producido una pérdida de datos. Por tanto, hay que actuar no solo cuando haya un problema, sino que hay que anticiparse.
- Es obligatorio realizar un análisis de riesgos para determinar en qué situaciones puede originarse una situación de pérdida de datos.
- Se establece que el consentimiento del usuario para sus datos debe ser siempre un consentimiento explícito siendo, por tanto, mediante una declaración o acción afirmativa.
Aplicación obligatoria
Estas son algunas de las novedades que introduce el reglamento de protección de datos y que obliga a las empresas a aplicarlo y realizar las adaptaciones necesarias para estar preparados en el momento de su entrada en vigor. La formación es una de las opciones que muchas empresas y entidades están usando para hacer llegar estas novedades y cambios a sus empleados y facilitar en mayor medida esta adaptación.
