El 25 de mayo de 2018 es una fecha marcada en los calendarios de todas aquellas, personas físicas o jurídicas, sometidas a la normativa de Protección de Datos. A partir de ese día, el Reglamento europeo 2016/919 es de aplicación directa en los países de la Unión Europea, por supuesto, también en España.
Junto con la aplicación de ese Reglamento, debía llegar en todos los países de la UE, una nueva ley, en nuestro país sustituyendo a la vigente Ley Orgánica de 1999. La Ley española va a llegar tarde, lo cual no es una sorpresa, pero va a provocar algunas contradicciones entre el contenido de la LO 15/1999 y el nuevo Reglamento europeo.
Los cambios son importantes, y van a suponer un esfuerzo importante en el tratamiento de datos personales.
Un “dato de carácter personal” es cualquier información sobre una persona física identificada o identificable. Esos datos son propiedad de esa persona, están protegidos como derecho fundamental, y únicamente cada persona tiene poder de disposición y control sobre sus propios datos.
Partiendo de ello, lo cierto es que, en casi todas las actividades profesionales y empresariales, incluso en algunas actividades cotidianas, se “tratan” datos de carácter personal.
Ahora, con la aplicación del Reglamento europeo, cambian las obligaciones de aquellos que tratan los datos de terceros (responsables o encargados en la terminología de protección de datos).
Así, desaparece la obligación de notificar ficheros a la Agencia Española de Protección de Datos (AEPD), pero se incrementan las exigencias, por ejemplo, respecto de la base jurídica que legitime el tratamiento, la necesidad de realizar análisis de los riesgos y tomar las medidas de seguridad adecuadas, tanto organizativas como técnicas.
Además, se impone la obligación de notificar las quiebras de seguridad que se puedan haber producido en el tratamiento de los datos (pérdida, robo, destrucción, etc.) que sufran, tanto a la AEPD, como a los interesados.
En cuanto a los derechos que puede ejercer el interesado, el titular de los datos, se amplían éstos, añadiendo a los anteriores ARCO (acceso, rectificación, cancelación oposición), el de supresión (similar a cancelación), limitación del tratamiento y la portabilidad. Existe un procedimiento detallado para su ejercicio, fijándose 1 mes para su resolución.
Cambian, también, deben cambiar, las cláusulas informativas sobre protección de datos, ampliándose la información en impresos y solicitudes. Esta información se puede realizar por capas, es decir, remitiéndose a otros documentos en los que figure una información más detallada, algo especialmente útil en datos documentados en papel.
Aparece, también, la figura del delegado de protección de datos, que no será necesario en todos los casos.
Por tanto, si aún no has adaptado y actualizado tu empresa o negocio a las nuevas obligaciones, es fundamental hacerlo sin demora. En Negotia estaremos a tu disposición para asesorarte en esta materia.
