Con fecha 27 de abril de 2016 el Parlamento Europeo y el Consejo de la Unión Europea adoptaron el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679).
Aparentemente parece una norma más a nivel comunitario, pero lo cierto es que nos encontramos ante un Reglamento de aplicación directa en todos los Estados miembros de la UE, con incidencia directa en todas las empresas y administraciones públicas de nuestro país.
La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental, así recogido en la Carta de los Derechos Fundamentales de la Unión Europea, y en nuestro caso, también en la Constitución española.
25 de mayo de 2018
La entrada en vigor del Reglamento en mayo de 2016, dispuso un periodo de 2 años para que, tanto las empresas como las administraciones públicas de la UE, se adaptaran a lo establecido en la nueva normativa comunitaria sobre protección de datos. Dicho plazo tiene como fecha marcada en rojo el próximo 25 de mayo de 2018, fecha en la cual el Reglamento General de Protección de Datos tendrá plena aplicación en la Unión Europea, y por tanto, también en España.
Las autoridades comunitarias decidieron otorgar un plazo de 2 años, de carencia aplicativa del contenido del Reglamento General, con el único propósito inapelable de que las instituciones, empresas y organizaciones que tratan datos se hayan preparado y adaptado para el momento en el que el Reglamento sea aplicable.
Cómo adaptarse al Reglamento General
¿Por dónde empezar? ¿Qué debe hacer mi empresa para adaptarse a la normativa comunitaria sobre protección de datos? Son muchas las cuestiones e interrogantes que se plantean, por ello, trataré de resumir a continuación cuáles son los principales aspectos que exige el Reglamento General.
Registro de actividades de tratamiento. Las empresas y organizaciones que habitualmente realicen tratamiento de datos de riesgo para la privacidad de los interesados, o traten datos sensibles, deberán contar con un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.
Evaluación de riesgos. Obligatorio para las empresas y entidades que realicen tratamiento de datos que pueda implicar un alto riesgo para los derechos y libertades de las personas físicas.
Medidas de seguridad. Adaptar las medidas de seguridad existentes en virtud de los resultados de la evaluación de riesgos efectuada.
Comunicación de fallos de seguridad. Obligación de que el responsable de tratamiento notifique a la Agencia Española de Protección de Datos la existencia de una quiebra de seguridad en el plazo de 72 horas.
Evaluación de impacto. El Reglamento exige que los responsables del tratamiento implementen medidas de control adecuadas para demostrar que se garantizan los derechos y libertades de las personas y la seguridad de los datos.
Delegado de Protección de Datos. Se introduce la figura del DPO, que será obligatoria para las empresas en función del sector al que se dediquen, de la tipología del tratamiento de datos que hagan o de si el tratamiento de datos se hace a gran escala. Sus principales funciones serán las de informar y asesorar al responsable del tratamiento, supervisar la documentación y ejercer de punto de contacto con las autoridades de control.
Asimismo, en paralelo a todo lo anterior, las empresas, administraciones y entidades en España deberán adecuar sus formularios de solicitud de información, adaptar los mecanismos y procedimientos para el ejercicio de derechos, revisar y adaptar los contratos ya firmados con los encargados de tratamiento, así como elaborar o corregir las políticas de privacidad.
En definitiva, la aplicación del RGPD supone un reto para las empresas y administraciones en España, para dar pleno cumplimiento de una normativa comunitaria que va a regular, con mayor exigencia, todos los aspectos relacionados con el derecho fundamental e individual que tenemos cada uno de nosotros a un tratamiento ajustado a derecho de nuestros datos personales.
Guillermo Chaverri Repáraz
Socio en Chaverri&Loitegui Abogados | Consultores