El pasado 4 de mayo fue publicado en el Diario Oficial de la Unión Europea el texto definitivo del nuevo Reglamento Europeo de Protección de Datos (REPD), aprobado por el pleno del Parlamento Europeo el 13 de abril de este mismo año.

Esta nueva normativa sustituye a la Directiva de protección de 1995, que ha tenido su desarrollo legislativo en España a través de la Ley Orgánica de Protección de Datos (LOPD) del año 1999.

El REPD resultará directamente aplicable a partir del próximo 25 de mayo de 2018. A continuación se resumen las principales novedades que resultarán de aplicación:

1.- ¿Qué empresas se verán afectadas?

Esta nueva normativa resultará de aplicación a todas aquellas empresas que realicen un tratamiento de datos de ciudadanos europeos, independientemente de si dichas empresas tienen su sede dentro o fuera de la Unión Europea.

2.- Se elimina la obligación de declarar ficheros, pero se mantiene la obligación de disponer de un documento de seguridad.

Con la entrada en vigor del nuevo REPD ya no será necesario que las empresas declaren ficheros ante la Agencia de Protección de datos.

No obstante, para aquellas empresas de más de 250 empleados o que habitualmente realicen un tratamiento de datos de riesgo o traten datos sensibles, resultará de obligación elaborar un documento en el cual se especifiquen, entre otros aspectos, los tratamientos de datos que se realicen, los datos personales que se traten, los destinatarios de los datos, la finalidad de dicho tratamiento y las medidas técnicas y de seguridad adoptadas por la empresa para realizar dicho tratamiento.

3.- ¿Sobre qué nuevos aspectos se deberá informar a los usuarios?

El REPD especifica que se deberá informar sobre el plazo de conservación de los datos, el interés legítimo que tiene la empresa para realizar su tratamiento, el derecho por parte del usuario a presentar una reclamación ante la Agencia de Protección de Datos, y si los datos van a ser utilizados para la realización de técnicas de profiling con fines publicitarios.

4.- ¿Cuáles son los derechos que el REPD reconoce a los usuarios?

El REPD establece como derechos de los usuarios el derecho a la información, acceso, supresión, rectificación, limitación, transparencia, portabilidad y oposición, los cuales deberán ser atendidos por parte de las empresas en un plazo máximo de un mes desde la recepción de solicitud correspondiente.

Destaca en este sentido el derecho de portabilidad, consistente en la obligación de proporcionar a los usuarios los datos que estos hayan proporcionado a la empresa para que dichos datos puedan ser transmitidos a otras empresas.

5.- Nueva regulación sobre el profiling

El REPD establece que las empresas podrán realizar un tratamiento de datos de los usuarios para elaborar perfiles y adoptar decisiones basadas únicamente en procesos automatizados cuando se haya obtenido el consentimiento expreso de los usuarios para esa finalidad.

6.- El derecho al olvido

Se reconoce la obligación de las empresas a eliminar los datos de los usuarios que se hubiesen difundido públicamente cuando los afectados lo soliciten. No obstante, el REPD reconoce igualmente la posibilidad de que las empresas rechacen las solicitudes de supresión en base al derecho a la libertad de expresión e información entre otros motivos.

7.- La nueva figura del DPO

El REPD establece la obligación por parte de las empresas a nombrar un Delegado de Protección de Datos interno o externo, cuyas principales funciones consistirán en asesorar a la empresa y sus trabajadores sobre el cumplimiento de la normativa, así como servir de punto de contacto con la Agencia de Protección de Datos para el planteamiento de consultas y evaluaciones de impacto.

8.- Las evaluaciones de impacto

Un aspecto muy novedoso que establece el nuevo REPD es la obligación para las empresas que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas, en particular si se utilizan nuevas tecnologías, de realizar una evaluación de impacto, en la que se evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

De acuerdo al REPD, si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la Agencia de Protección de Datos antes de proceder al tratamiento.

9.- Notificaciones de seguridad

A partir de la aplicación del nuevo REPD, las empresas tendrán la obligación de notificar a la Agencia de Protección de Datos las brechas de seguridad que se produzcan dentro un plazo de 72 horas.

El reglamento también exige a las empresas la notificación de las brechas de seguridad que se produzcan a los usuarios afectados cuando exista un riesgo para sus derechos, excepto cuando la empresa haya adoptado medidas ulteriores que garanticen a los afectados que ya no exista la probabilidad que se concretice el riesgo para sus derechos.

10.- Sanciones

En el caso de incumplimiento de las obligaciones que se establecen en el REPD, esta nueva normativa contempla la posibilidad de imponer sanciones económicas de hasta 20 millones de Euros o el 4% del volumen de negocio total anual del ejercicio financiero anterior.

Letslaw es un despacho de abogados especializado en derecho de Internet y privacidad.