El pasado 14 de abril, se aprobó finalmente el nuevo marco jurídico en materia de protección de datos para toda la Unión Europea, basada en la ley del derecho al olvido, que establece nuevas reglas que sustituirán a la actual Directiva de 1995.

La rápida evolución tecnológica ha supuesto nuevos retos para la protección de la información y la reputacion digital online de los ciudadanos, permitiendo que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de desarrollar sus actividades.

Con la aprobación de este Reglamento Europeo (RGPD), se pretende establecer un marco más sólido y coherente en materia de protección de datos en toda la Unión Europea, con una aplicación estricta que otorgue a los ciudadanos el control de sus propios datos y refuerce la seguridad jurídica y práctica de las empresas y autoridades públicas.

Este Reglamento es el instrumento jurídico más apropiado debido a su aplicabilidad directa en la Unión Europea, sin necesidad de trasposición por parte de los Estados miembros, lo que reducirá la fragmentación y ofrecerá una mayor seguridad jurídica, mejorará la protección del derecho fundamental a la protección de datos y la contribución al desarrollo del Mercado Único Digital europeo.

Las nuevas reglas establecen, entre otras disposiciones, un endurecimiento del régimen sancionador mediante la imposición de sanciones de hasta 20 millones de euros o el 4% de la facturación anual del anterior ejercicio fiscal, según sea el importe más elevado a todas las compañías que lo incumplan. La designación de un Delegado de Protección de Datos (DPO); siempre que concurran los requisitos establecidos en el Reglamento, admitiéndose la externalización de esta figura. El DPO debe tener conocimientos de privacidad, ser independiente y rendir cuentas directamente al más alto nivel jerárquico de la Organización, debiendo garantizar que su posición no da lugar a conflicto de intereses. Otra novedad destacada es la obligación de notificar cualquier violación de la seguridad de los datos personales a la autoridad nacional de control y, en algunos casos, a los propios interesados, sin demora y, como máximo, en el plazo de 72 horas. Respecto al derecho al olvido, este Reglamento Europeo regula de forma expresa la posibilidad de solicitar la supresión de los datos en Internet.

También se incorpora, procedente del derecho anglosajón, el principio de privacidad desde el diseño y por defecto, que obligará a poner en marcha políticas y medidas que permitan acreditar el cumplimiento del nuevo marco legislativo desde el momento en el que se diseña un nuevo producto o servicio -especialmente, los digitales- que implique un tratamiento de datos. De esta forma, las empresas y Administraciones Públicas que realicen este ejercicio previo obtendrán una ventaja competitiva sostenible, al poder identificar y mitigar a priori los posibles riesgos ligados al lanzamiento de determinados servicios o productos, lo que puede suponer una reducción significativa de costes.

El aumento de los riesgos y el valor de los datos personales conlleva la necesidad de fortalecer el papel y la responsabilidad de quienes tratan datos personales, de forma que la “arquitectura legal” de los mecanismos de accountability deberán aplicar medidas y procedimientos para garantizar que el tratamiento de datos personales se realiza en cumplimiento del Reglamento, así como el mantenimiento de la evidencia misma.

Finalmente, la evaluación de impacto obligará a documentar las operaciones de tratamiento de datos personales que se realicen, obtener el consentimiento expreso de los afectados y utilizar un lenguaje claro que permita conocer fácilmente las finalidades del tratamiento.

Para garantizar el cumplimiento de la nueva normativa, las empresas y Administraciones Públicas deberán actualizar y, en muchos casos, elaborar políticas, procedimientos internos y procesos de gestión, incluida la formación de sus empleados, para adecuarse a las novedades legislativas. Tales acciones se aplicarán previsiblemente a finales del primer semestre de 2018, fecha en la que las disposiciones incluidas en el Reglamento serán de aplicación directa en España.