La nueva regulación europea en materia de protección de datos
La rápida evolución tecnológica, que ha transformado tanto la economía como la vida social, está permitiendo que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades, lo que plantea nuevos retos para garantizar al mismo tiempo un elevado nivel de protección de esos datos personales.
En este contexto, y después de más de cuatro años de proceso legislativo, el Parlamento Europeo aprobó en 2016 el Reglamento Europeo de Protección de Datos (REPD), que será de cumplimiento obligatorio a partir del 25 de mayo de 2018. Este reglamento incorpora novedades relevantes respecto de la regulación nacional como, entre otras, (I) que las entidades no europeas que realicen tratamiento de datos de interesados establecidos en la UE estarán sujetos al REPD, (II) que se incluye la huella digital e imágenes faciales como datos especialmente protegidos, o (III) que se obliga a obtener el consentimiento expreso y por escrito de los interesados para permitir el tratamiento de sus datos personales (ya no sería válida la clásica cláusula en la que se exige una actuación del interesado para que sus datos no sean tratados).
En cuanto a las actuaciones a llevar a cabo por parte de las empresas, el REPD incorpora el principio de «responsabilidad proactiva », que viene a significar básicamente que las entidades que traten datos de carácter personal estarán obligadas a establecer sus políticas internas de protección de datos y a cumplirlas y adaptarlas de forma continuada en la práctica, por lo que no valdrá diseñar medidas de protección que se guarden en el cajón sin ser implementadas.
En caso de incumplimiento de las obligaciones incorporadas en el REPD, se establecen sanciones económicas superiores a las actualmente previstas en la normativa nacional, que podrían alcanzar hasta 20.000.000 de euros o hasta el 4 por ciento del volumen de negocios mundial de la empresa en cuestión.
Sin perjuicio de que mayo de 2018 parece quedar todavía muy lejos, a partir de esa fecha las empresas deberán estar en disposición de cumplir con las obligaciones recogidas en el REPD, por lo que se recomienda iniciar las actuaciones correspondientes cuanto antes, considerando además que el proceso de familiarización con el contenido del REPD así como el diseño de las medidas internas a implementar requerirá tiempo.
En todo caso, hasta la fecha de entrada en vigor del REPD, lo anterior no debe eximir a las empresas de seguir cumpliendo con la normativa nacional aplicable.
Profesional de contacto
