Las novedades en el Reglamento de Protección de Datos pretenden devolver a los ciudadanos el control de sus datos personales y garantizar, en toda la UE, unos estándares de protección elevados y adaptados al entorno digital. También incluye nuevas normas mínimas, sobre el uso de datos para fines judiciales y policiales.

El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables.

Este periodo de dos años tiene como objetivo permitir que, los Estados de la Unión Europea, las Instituciones Europeas y también las organizaciones que tratan datos, vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.

El Reglamento de Protección de Datos se aplicará como hasta ahora, a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE, siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión, o como consecuencia de una monitorización y seguimiento de su comportamiento.

Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.

Esta novedad supone una garantía adicional a los ciudadanos europeos. En la actualidad, para tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de Internet.

Ello permite que el Reglamento de Protección de Datos sea aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea.

Entre otras disposiciones, las nuevas reglas incluyen:

  • El derecho al olvido, mediante la rectificación o supresión de datos personales.
  • La necesidad de consentimiento claro y afirmativo de la persona concernida al tratamiento de sus datos personales.
  • La portabilidad, o el derecho a trasladar los datos a otro proveedor de servicios.
  • El derecho a ser informado si los datos personales han sido pirateados.
  • Lenguaje claro y comprensible sobre las cláusulas de privacidad.
  • Multas de hasta el 4% de la facturación global de las empresas en caso de infracción.

El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.

Para más información puede consultar la Agencia Española de Protección de Datos.