Rubén Díaz – El nuevo Reglamento General de Protección de Datos Personales ha entrado en vigor el 25 de mayo de 2016 y será obligatorio para las empresas su cumplimiento a partir del 25 de mayo de 2018. Hasta esa fecha, la Ley de Protección de Datos española y su Reglamento de desarrollo siguen siendo plenamente válidos y aplicables en España.
Se pospone dos años la aplicación del Reglamento para que las empresas puedan ir preparándose y adaptándose a los nuevos requerimientos de este Reglamento que protege única y exclusivamente, tal como sucede con la actual normativa, los datos personales de personas físicas, no de sociedades mercantiles o demás personas jurídicas.
Los “diez mandamientos” que recoge el Reglamento son, de forma sencilla y resumida, los siguientes:
- Se refuerza la exigencia de prestación de consentimiento expreso por parte del titular de los datos personales, no pudiendo deducirse del silencio o de la inacción.
- Se introduce la exigencia del consentimiento expreso de los menores de edad para las ofertas directas de servicios que se les dirijan a través de cualquier medio y en especial a través de internet, siendo válido por sí mismo el consentimiento prestado por los mayores de 14 años, mientras que para menores de 14 años se necesitará el consentimiento del padre o tutor.
- Se establece la obligación para las empresas de disponer de sistemas de registro del consentimiento.
- Se incluyen en el listado de datos personales especialmente protegidos (ya figuraban la ideología, religión, afiliación sindical, creencias, salud, origen racial y vida sexual) los datos genéticos y biométricos dirigidos a identificar de manera inequívoca a una persona.
- Se refuerza el derecho de transparencia de la persona titular de los datos, obligando a suministrarle más información con carácter previo a la recogida de sus datos.
- Se contempla expresamente el “derecho al olvido” en internet y demás plataformas digitales y que supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.
- Se introducen nuevos supuestos para la cancelación (bloqueo) de los datos.
- Se establece la obligación de mantener un registro de ficheros y tratamientos por encargo de terceros en empresas con más de 250 trabajadores o en el tratamiento de datos especialmente protegidos.
- Se establece la obligación por parte del titular de un fichero de datos personales de notificar a la Agencia Española de Protección de Datos y al propio titular de los datos, aquellas brechas de seguridad que se produzcan en su sistema y que supongan riesgo de daños y perjuicios físicos, materiales o inmateriales para las personas físicas.
- El régimen sancionador se vuelve más severo para quienes infrinjan las normas sobre protección de datos.
En este sentido, los organismos autonómicos y nacionales que tienen asignadas competencias en materia de protección de datos tendrán poderes para sancionar con una advertencia, apercibimiento, solicitud de atención de ejercicio de derechos, limitaciones del tratamiento, y multas administrativas para las que se contempla un importante aumento de las cuantías que pueden llegar hasta los 20.000.000,00 € o un 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Como vemos son muchas y muy importantes las novedades que nos trae este Reglamento, por lo que no debemos esperar hasta el último momento y comenzar ya con su paulatina incorporación siempre y cuando no sean contradictorias con la normativa que sigue vigente hasta mayo de 2.018.
En este sentido, en SÁEZ ABOGADOS disponemos de expertos en materia de protección de datos que podrán asesorarle de las actuaciones que toda empresa debe realizar para cumplir con las obligaciones sobre protección de datos.