El aumento sustancial de los flujos de datos personales a la hora de realizar actividades como consecuencia de la rápida evolución tecnológica y la globalización, requerían un marco Europeo más sólido y coherente para la protección de datos, por lo que en mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, con el objetivo de unificar para todas las empresas que operan en la Unión Europea un único conjunto de normas de protección de datos con independencia de dónde tengan su sede, concediendo un plazo de dos años de margen para su implementación, siendo de obligada aplicación a partir del próximo 25 de Mayo de 2018.
Nos encontramos pues en la cuenta atrás para que las organizaciones adapten sus estructuras, protocolos y políticas, con las medidas necesarias para estar en condiciones de cumplir con las previsiones de este RGPD en el momento que sea de aplicación.
En este contexto, el RGPD contiene muchos conceptos y principios similares a los establecidos actualmente en materia de Protección de Datos, pues la Ley Orgánica de Protección de Datos 15/1999 era una de las más maduras respeto al tratamiento de datos personales respecto al resto de los Estados miembros. Por ello, aquellas organizaciones que en la actualidad ya cumplen con la normativa de protección de datos tienen una buena base de partida para adaptarse al nuevo Reglamento.
Los dos aspectos más relevantes e innovadores del Reglamento para los responsables de tratamientos, y pilar del que deben partir las organizaciones son los siguientes:
En definitiva las organizaciones deberán analizar todos los tratamientos de bases de datos de carácter personal, la finalidad de los mismos, el tiempo en los que se realiza, a quién transfiere sus datos y la aplicación, desde el inicio de cualquier actividad, de una política de responsabilidad activa que reduzca al máximo cualquier riesgo para los derechos y libertades de los interesados, porque son éstos al fin y al cabo, la principal razón de esta normativa: la protección al derecho fundamental de las personas físicas de protección de sus datos personales.
Sin embargo, adaptarse a esta nueva normativa debe ser considerado para las organizaciones como una oportunidad para ganar competitividad y fidelización de sus clientes y consumidores, pues les permitirá conocer en profundidad los datos de que disponen y encontrar un nuevo valor a este tipo de información, pues una vez adaptadas sus políticas, habrán ordenado aquellos cajones olvidados por muchas organizaciones llenos de datos de carácter personal obsoletos, garantizando que sólo se traten aquellos que sean necesarios para los fines del tratamiento (lo que el RGPD llama privacidad por defecto), y estableciendo un equilibro entre los datos y su flujo dentro de su actividad económica.
Finalmente, dentro de todo este proceso de adaptación, deberemos también considerar en su momento la nueva Ley Orgánica de Protección de Datos Española, cuyo Proyecto se encuentra en fase de tramitación, y si se elaborará asimismo un Reglamento de Desarrollo una vez se apruebe la nueva Ley.
Actualmente el texto de este Proyecto de Ley de Protección de Datos destaca como elementos novedosos respecto al RGPD por ejemplo; que adelanta a los trece años la edad de consentimiento para el tratamiento de datos, hace referencia el tratamiento de los datos correspondientes a personas fallecidas en base a la solicitud de sus herederos, y en caso de una inexactitud en los datos personales obtenidos de forma directa, se excluye la imputabilidad del responsable de su tratamiento si éste ha adoptado todas las medidas razonables para su rectificación o supresión.
A nivel práctico, las principales novedades del Reglamento General de Protección de Datos (RGPD), respecto la situación jurídica actual en cuanto a protección de datos, y que deberán cotejar las organizaciones y en su caso aplicarlas antes del próximo 25 de Mayo, son:
Este cambio implica que deban revisarse todos los tratamientos iniciados con anterioridad al inicio de aplicación del Reglamento, pues únicamente seguirán siendo legítimos cuando el consentimiento lo hubieran prestado mediante una afirmación o acción afirmativa, o aquellos que puedan apoyarse en otra base legal, como puede ser el nuevo concepto de interés legítimo, debiendo de acreditar en cualquier caso el responsable este cumplimiento.
Y en su caso,
Deberán por ello adaptarse todas las notas legales existentes en los procedimientos de recogida de datos de las organizaciones, teniendo en cuenta principalmente que debe hacerse compatible esta mayor exigencia de información que introduce el Reglamento, y la voluntad que la información básica sea ofrecida a los interesados en el mismo momento y medio en que se recojan los datos.