El Reglamento General de Protección de Datos ya está aquí

Estamos en pleno apogeo del Big Data. Las tecnologías irrumpen en todas las esferas de nuestra vida y los datos se convierten en el activo más valorado, el papel desaparece y el contenido que había en él pasa a la “nube”. En cada instante se recogen y almacenan datos de forma masiva y su correcto tratamiento se hace una labor imprescindible para los ciudadanos. El desarrollo tecnológico provoca que fácilmente se traspasen fronteras con un sólo “click” con cantidades de datos sin precedentes.

El riesgo que conlleva el almacenamiento masivo de datos sin el debido tratamiento, unido al desarrollo tecnológico, ha planteado nuevos retos para la protección de datos personales, provocando la necesidad de elaborar una normativa de protección de datos personales que regule y prevea la problemática que puede surgir ante la recogida, intercambio de información y almacenamiento de datos, sin un control acorde con el desarrollo social y tecnológico de nuestro tiempo.

El nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, que entró en vigor en mayo de 2016, será aplicable a partir del próximo 25 de mayo de 2018 de forma igualitaria y uniforme en todos los Estados de la Unión Europea. El grado de protección de los derechos y libertades de las personas físicas, por lo que se refiere al tratamiento de dichos datos, debe ser equivalente e igualitario en todos los Estados Miembros para poder garantizar un nivel uniforme y elevado de protección a las personas físicas y eliminar, así, los obstáculos a la circulación de datos personales dentro de la Unión.

La nueva normativa en materia de protección de datos amplía las obligaciones de las Administraciones Públicas, autónomos y empresas, incluidas aquellas ubicadas fuera de la Unión Europea que ofrezcan sus productos o servicios a usuarios de países miembro, o que reciban datos personales de la UE, siendo  necesario para su correcto cumplimiento, concienciarse de la responsabilidad que asumen al recabar, almacenar y transferir datos personales.

Son varias las novedades que conlleva esta nueva normativa, como la regulación de nuevos principios jurídicos (Cap. II) que regirán en materia de protección de datos, o la ampliación y refuerzo de los derechos de los ciudadanos (Cap. III), que ya no se circunscribe a los derechos ARCO, entre los que cabe destacar el Derecho al Olvido (art. 17) y a la Portabilidad de los Datos (art. 20), entre otros. Ahora existe la posibilidad y el derecho a que los datos de una persona que quiere ser “olvidada” sean eliminados de la red y que lo datos del particular se transfieran, con su consentimiento, de forma rápida y sencilla.

Desaparece el consentimiento tácito en la prestación de datos (cdo.32), incluso si éste se prestó bajo normativa vigente con anterioridad a la entrada en vigor del nuevo Reglamento Europeo de Protección de datos, será necesario volver a solicitarlo. Bajo la nueva regulación es necesario prestar consentimiento al amparo de una declaración del interesado o una acción positiva que manifieste su conformidad.

Otra novedad a destacar es la aparición del Delegado de Protección de Datos (DPO), (Sec. 4, Cap. IV) figura clave, a la que el reglamento dedica una sección completa y atribuye unas funciones tasadas (art. 39). El DPO tiene un papel primordial en dar cumplimiento a las obligaciones establecidas en el RGPD. En este sentido, ya no basta únicamente con informar si hay un problema, sino que su actuación debe ser proactiva y adoptar las medidas necesarias para evitarlo. El RGPD sólo prevé la obligación de un DPO en tres supuestos: en el caso de las administraciones públicas, las empresas y entidades cuya actividad principal sea el tratamiento masivo de datos y, aquellas empresas cuya actividad principal consista en el tratamiento a gran escala de categoría de datos personales especialmente protegidas.

De otro lado, debemos destacar que el régimen sancionador (art. 83)  regula con mayor rigidez las multas administrativas a imponer, optando la de mayor cuantía entre la cantidad de 20.000.000€ o, el 4% como máximo del volumen anual total.

El RGPD es directamente aplicable a todos los Estados Miembros y, pese a la posibilidad de desarrollo de algunos aspectos del mismo, con el fin de clarificar determinados aspectos en sus respectivos ordenamientos, no es posible alejarse del espíritu de los principios y obligaciones contenidos en el mismo. Por ello, y siendo conscientes de la problemática y disparidad de criterios que pueden surgir en el desarrollo del Reglamento, entre las 28 autoridades europeas, ahora vamos a contar con el Comité Europeo de Protección de Datos (Cap VII, Sec. 3), como órgano unitario entre los Estados Miembros, con competencias vinculantes para la resolución de conflictos en esta materia. Y así, se crea a su vez, el llamado mecanismo de la «ventanilla única», que permitirá efectuar posibles reclamaciones que provengan de operaciones transfronterizas, a través de dicha herramienta. La reclamación será gestionada por la Autoridad nacional (en el caso de España, la Agencia Española de Protección de Datos) quién se encargará a su vez, de informar al interesado del resultado final de su reclamación o denuncia.

La adaptación a las nuevas obligaciones y novedades normativas se presenta con dificultad, dado que las exigencias de esta normativa no son pocas y, en ocasiones su redacción no goza de la claridad que fuera deseable. Especialmente, en el ámbito de la Administración Pública, y concretamente en el ámbito local, deberá ser realizada una gran labor de adaptación a las nuevas exigencias establecidas por el RGPD en lo que atañe a su régimen jurídico, organizativo y técnico , incluida la introducción del DPO en su plantilla, ya sea de forma interna o mediante la contratación de servicios externos; y en el en el ámbito privado, las PYMES, que, constituyendo la mayor parte del tejido empresarial en España, aún no parecen concienciadas del posible riesgo en que pueden incurrir al realizar un tratamiento de datos “despreocupado”, sin tomar las medidas correspondientes y asumir las obligaciones de la nueva normativa.

En este sentido, la Agencia Española de Protección de Datos (AEPD), así como el Grupo de Trabajo del Artículo 29 (GT 29) están realizando una necesaria labor de interpretación y guía respecto a dicho Reglamento con el fin de dar luz a muchas de las dudas que puede plantear actualmente el texto actualmente.

Se están adoptando medidas para facilitar la adaptación a las nuevas exigencias y obligaciones del RGPD, como por ejemplo, la impartición de cursos de formación para funcionarios y la colaboración con la FEMP y COSITAL así como con el Colegio General de Secretarios, Interventores y Tesoreros de la Administración Local a la hora de buscar soluciones a posibles problemas que pueden surgir en relación a municipio de poblaciones menores.

Hay que significar la herramienta gratuita «Facilita RGPD«, creada por la AEPD, pensada para ayudar a aquellas empresas con menos recursos que pudieran ver la protección de datos como una carga añadida en día a día.

Con el fin de facilitar la aplicabilidad y adaptabilidad de la nueva regulación que recoge el nuevo Reglamento Europeo a nuestro ordenamiento jurídico, el 10 de noviembre de 2017 fue aprobada por el Consejo de Ministros la nueva Ley Orgánica de Protección de Datos cuyo plazo de presentación de enmiendas se amplió hasta el 6 de febrero y está pendiente de aprobar. A su vez, la AEPD está trabajando en un borrador de Reglamento que regulará todos los procedimientos transfronterizos.

Es primordial generar confianza a las personas sobre el tratamiento y salvaguarda de sus datos, como derecho fundamental consagrado. Ello es necesario por el bien y seguridad de las personas, pero también para potenciar la economía digital, de forma segura y eficiente, de la que son beneficiarios todos los ciudadanos, empresas y administraciones públicas; y la consecución de este fin requiere un marco más sólido y coherente que permita a las personas tener el control de sus propios datos personales. Para ello, es necesario reforzar la seguridad jurídica y práctica para las personas, operadores económicos y autoridades públicas.