En mayo de 2016 entró en vigor el nuevo Reglamento Europeo de Protección de Datos (General Data Protection Regulation GDPR) relativo a la protección de las personas físicas en lo que respecta al tratamiento y libre circulación de datos personales.
Este Reglamento será de aplicación directa en toda Europa, sin necesidad de incorporación por parte de los Estados miembros a su ordenamiento interno. Debido a los cambios sustanciales en las obligaciones de cumplimiento que incluye la norma, el Reglamento no será aplicable en cada Estado hasta el 25 de mayo de 2018.
El Reglamento pretende reforzar el derecho a la protección de datos personales de los ciudadanos europeos: deber de información, consentimiento inequívoco y nuevos derechos como son el derecho al olvido, limitación del tratamiento y portabilidad… Además, el Reglamento Europeo incrementa las sanciones por incumplimiento e incluye multas de hasta 20 millones de euros o del 4% de la facturación de las compañías.
Con la entrada en vigor del Reglamento se va a producir un profundo cambio respecto a la actual normativa derivada de la Directiva europea -95/46/CE – (Ley 15/1999, de 13 de diciembre de protección de datos y Reglamento de desarrollo Real Decreto 1720/2007e 21 de diciembre) ya que la nueva norma cambia el modelo de protección de los datos de carácter personal existente, basado en una enumeración específica de las medidas de seguridad a implantar en función de la tipología de datos tratados, por la aplicación de medidas técnicas y organizativas “apropiadas”, que garanticen y demuestren que el tratamiento es adecuado conforme al ámbito, al contexto y a los fines del tratamiento, así como una adecuada gestión de riesgos en el tratamiento de los datos que puedan afectar a los derechos y libertades de las personas físicas. Por lo tanto, es el responsable o encargado de tratamiento al que se le va a exigir una responsabilidad proactiva, en lugar de la responsabilidad reactiva, es decir, deberán, con carácter previo, tener la diligencia debida para evitar tratamientos o incumplimientos no deseados en la protección de los intereses de los ciudadanos en el ámbito de su privacidad.
Es el responsable o encargado de tratamiento el que deberá acreditar dicha diligencia con un sistema de control interno sólido y eficaz. Por ello, no será suficiente la mera demostración formal de cumplimiento sino que este principio exige una actitud previa, consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
Una actuación diligente y proactiva por parte una organización debe tener en cuenta una serie de medidas. Como por ejemplo, la protección de datos desde el diseño y por defecto, esto es, antes y durante la realización del tratamiento; la implementación y mantenimiento de un registro de tratamientos; las medidas de seguridad; la realización de evaluaciones de impacto sobre la protección de datos y el nombramiento de un delegado de protección de datos; la promoción de códigos de conducta y esquemas de certificación; o la notificación de violaciones de la seguridad de los datos.
La obligatoriedad de estas medidas, o el modo en que se apliquen, dependerán de factores que habrá que tener en cuenta en cada caso, como el tipo de tratamiento y el riesgo que dicho tratamiento implica para los derechos y libertades de los interesados.
El Reglamento Europeo de Protección de Datos pretende que se anticipe el momento en que el responsable o encargado del tratamiento actúe con diligencia debida mediante este principio de responsabilidad proactiva, gestionando los riesgos mediante un sistema de control interno sólido, que permita acreditar esta actuación diligente con carácter previo.
Así pues, la entrada en vigor del Reglamento Europeo de Protección de Datos supone una mejora en cuanto a la protección en el tratamiento de los datos personales. Fundamentalmente porque traslada la responsabilidad inicial del cumplimiento al responsable o encargado del tratamiento. Sin embargo, es posible que, inicialmente, pueda presentar cierta incertidumbre en su aplicación debido al paso de un sistema cerrado, basado en una enumeración especifica de las medidas de seguridad a implantar en función de la tipología de datos tratados, a un sistema abierto, cuyo objetivo es la aplicación de las medidas técnicas y organizativas “apropiadas” para garantizar y poder demostrar que el tratamiento es adecuado conforme al ámbito, el contexto y los fines del tratamiento.
José Antonio Castrillo
