La adaptación del derecho a la era digital es una apuesta considerable. La aprobación del Reglamento General de Protección de Datos

[1] (en adelante, el «Reglamento») refuerza el denominado “mercado interior digital” y deroga la directiva 95/46 CE[2]. El ambicioso objetivo es lograr un derecho europeo único acerca de la protección de datos que concilie, por un lado, la libre circulación de los datos y por otro, el reforzamiento de los derechos de los ciudadanos europeos afectados por el tratamiento que se da a los mismos.

A partir del 25 de mayo de 2018, cambiaran las reglas del juego de aplicación directa para las empresas, estén ubicadas en el territorio de la Unión Europea o en terceros países. De conformidad con este criterio de extraterritorialidad, a partir del momento en que el responsable del tratamiento de datos proponga bienes y servicios en el mercado europeo, deberá respetar las disposiciones del Reglamento.

Desde un punto de vista práctico, las empresas deberán alinearse con tres cambios.

En primer lugar, la gran aportación del Reglamento es la instauración de un régimen de responsabilidad [“Accountability”] de los actores que tratan datos personales. Así, este nuevo texto conlleva la desaparición del régimen de la declaración previa a las autoridades de control, esto es la Comisión Nacional de Informática y Libertades (CNIL) en Francia o la Agencia Española de Protección de Datos (AEPD).

En adelante, tanto el responsable del tratamiento como el encargado del mismo deberán estar en condiciones de demostrar a dichas autoridades que respetan las obligaciones previstas en el Reglamento. En efecto, según esta lógica de responsabilización de los actores, en caso de violación de las disposiciones del Reglamento, se comprometerá tanto al encargado del tratamiento como al responsable del mismo. Por lo tanto, las empresas deberán ser más vigilantes por lo que respecta a la redacción de contratos de subcontratación. Además, las empresas que tengan más de 250 empleados tendrán la obligación de llevar un registro de las actividades de tratamiento.  El responsable o el encargado del mismo deberán poner a disposición de la autoridad de control que lo solicite el registro permanentemente. Ello será sin duda el medio más eficaz para que las empresas demuestren su conformidad con el nuevo texto.

En segundo lugar, le Reglamento refuerza de modo significativo los derechos individuales de las personas afectadas por el tratamiento de datos personales. En total, once derechos, tales como el derecho a la portabilidad de los datos, están consagrados en el Reglamento con el fin de mejorar la protección y el acceso a la protección de los datos personales. Otra contribución esencial es la exigencia de un consentimiento claro y explícito de las personas afectadas por el uso de sus datos personales. A partir del próximo 25 de mayo, el consentimiento deberá obtenerse mediante un acto positivo claro; el silencio dejará de equivaler a la aceptación, quedando expresamente precisado que se trata de una condición de licitud del tratamiento. El reforzamiento de los derechos también se caracteriza por la obligación de notificación en caso de vulneración de datos personales: el responsable del tratamiento y/o el encargado del mismo deberán informar a la autoridad de control y a la persona afectada por la violación de la seguridad de los datos personales a más tardar 72 horas después de que hayan tenido constancia de ella.

En tercer lugar, el Reglamento refuerza los sistemas de control internos y externos y aumenta considerablemente las sanciones. El delegado de protección de datos, cuyo nombramiento es obligatorio solamente en tres casos, desempeñará un papel de intermediario entre la empresa y la autoridad de control y acompañará al responsable del tratamiento para garantizar el cumplimiento de las obligaciones del Reglamento. Las empresas que no respeten las obligaciones del Reglamento incurrirán en multas que podrán ascender hasta los 20 millones de euros o al 4% de la cifra de negocios mundial.

Este Reglamento, que cuenta con unos 173 considerandos y 99 artículos, planteará, necesariamente, dificultades prácticas. En este sentido, varias preguntas permanecen a día de hoy pendientes:

  • ¿De qué modo las empresas obtendrán el consentimiento de sus clientes y de sus empleados afectados por el tratamiento de datos personales?
  • ¿Tendrán que nombrar a un delgado de protección de datos y, en caso afirmativo, cómo será nombrado?
  • ¿Teniendo en cuenta la desaparición del régimen de la declaración previa, cuáles serán los medios utilizados por las autoridades de control para asegurar que las empresas cumplen con las nuevas normas?

Teniendo en cuenta que el 25 de mayo se acerca sin freno, las empresas deberán afrontar estas cuestiones y muchas más rápidamente.

M&B Abogados


[1] REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE

[2] DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos