El día 25 de mayo de 2018 entró en vigor, como estaba previsto, el nuevo Reglamento General de Protección de Datos ( o GDPR ). Una fecha que no pasó desapercibida porque implicó cientos de correos de empresas en nuestras bandejas de entrada. Por si no comprendimos de qué se trataba exactamente, vamos a ver cuáles son las novedades que trajo.
Qué es el nuevo Reglamento General de Protección de Datos
El Reglamento General de Protección de Datos fue aprobado desde 2016. Sin embargo, fue este año cuando entró en vigor. Aunque sin haber sido desarrollado como parte de la legislación nacional, este nuevo Reglamento supone algunos cambios con respecto al tratamiento de la información personal.
De manera general, se han introducido una serie de obligaciones para quienes se encargan de tratar datos personales, así como nuevos derechos para quienes son propietarios/as de dichos datos. Además, las sanciones por incumplimiento del nuevo Reglamento General de Protección de Datos pueden alcanzar cifras millonarias.
En lo que respecta al cumplimiento del Reglamento General de Protección de Datos, este afecta a las empresas, organizaciones, entidades y personas autónomas que utilizan datos personales a un nivel comercial. El ámbito de aplicación no abarca únicamente la Unión Europea, sino que traspasa sus fronteras cuando los consumidores o personas usuarias finales están en la UE.
Cambios en el nuevo Reglamento General de Protección de Datos
Los cambios principales que trae el nuevo Reglamento General de Protección de Datos abarcan tres ámbitos. Estos son la responsabilidad activa, la figura del delegado de protección de datos y los nuevos derechos a las personas propietarias de los datos. Vamos a ver en qué consisten.
La responsabilidad activa
Una de las modificaciones principales es la de quién tiene la responsabilidad. En la normativa anterior, se dictaban los criterios y las medidas de seguridad a cumplir. Sin embargo, el nuevo Reglamento General de Protección de Datos establece que quien tiene la responsabilidad del tratamiento de los datos es quien debe establecer las medidas que garanticen su protección.
Algunos de los medios con los que se cuenta para ello son el análisis de riesgos y la evaluación del impacto. Para ello, la Agencia Española de Protección de Datos ha desarrollado dos guías que sirven de referencia.
La figura del delegado
El delegado de protección de datos es una figura cuyo carácter es obligatorio únicamente en las entidades públicas o que tratan con una gran cantidad de datos personales y de tipo especial. Por ejemplo, es el caso de los hospitales o las empresas de vigilancia. La labor de esta figura de acuerdo con el nuevo Reglamento General de Protección de Datos es la de vigilar el cumplimiento del mismo, así como el asesoramiento sobre él.
Derechos de las personas propietarias
El nuevo Reglamento General de Protección de Datos amplía los derechos de quienes ejercen la propiedad de los datos. El primero de ellos es el de la portabilidad, es decir, el derecho a retirarlos y llevarlos a otra persona o empresa responsable de su tratamiento. El segundo, hace referencia a las limitaciones en dicho tratamiento.
No cumplir con estas nuevas normativas del Reglamento General de Protección de Datos implica sanciones extremadamente altas, por lo que conviene pensarse dos veces el tratamiento inadecuado de los datos personales.