REGLAMENTO (UE) 2016/679, de 27 de abril, DE PROTECCIÓN DE DATOS DE LA UE

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, sobre la protección de las personas físicas en lo que respecta al tratamiento y libre circulación de datos personales, deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Asistimos, pues, a la configuración de un nuevo marco europeo de protección de datos, que se completa con la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales y a la libre circulación de dichos datos.Aunque la entrada en vigor del Reglamento se prevé a los 20 días de su publicación en el DOUE, únicamente será aplicable a partir del 25 de mayo de 2018. Se compone de un total de 173 considerandos previos y 99 artículos, que hacen del Reglamento una norma compleja.

Su ámbito de aplicación (artículo 2) se extiende al tratamiento de datos personales, total o parcialmente automatizado o no automatizado cuando estén contenidos o destinados a ser incluidos en un fichero. Además, se aplica en el contexto de las actividades de un establecimiento del responsable o del encargado en la UE, independientemente de que el tratamiento tenga lugar en la Unión o no. También se aplica al tratamiento de datos fuera de la UE, cuando se trate de datos de residentes en la UE, “por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar enla Unión” (artículo 3.2).

El nuevo Reglamento establece una serie de principios:

  • Un conjunto único de normas aplicable en toda la Unión Europea.
  • Ventanilla única, que supone que los empresarios solo tendrán que relacionarse con un único supervisor en Europa.
  • Las empresas radicadas fuera dela Unión deberán aplicar las mismas reglas cuando ofrezcan sus servicios en la UE.
  • Consideración de los riesgos específicos, evitándose las obligaciones genéricas sobre el tratamiento de datos.
  • Privacidad desde el diseño, que implica que la protección de datos se incorpora a los productos y servicios desde sus primeros estadios de desarrollo, fomentándose las técnicas “Privacy-friendly”.
  • El consentimiento para el tratamiento de los datos deberá ser “libre, específico, informado e inequívoco” y el responsable del tratamiento de los datos deberá poder probar que el consentimiento del titular se otorgó adecuadamente.

El texto del Reglamento contempla nuevos derechos de los ciudadanos, en los artículos 12 y siguientes, como la transparencia, información, acceso, rectificación, supresión o derecho al olvido, limitación del tratamiento, portabilidad de datos y oposición.

Entre las novedades más destacadas que incorpora el Reglamento podemos señalar:

  • Principios aplicables al tratamiento de datos (artículo 5): licitud, lealtad y transparencia; que los datos sean recogidos con fines determinados, explícitos y legítimos; limitados a lo necesario en relación con los fines para los que son tratados; exactos y actualizados; mantenidos solo durante el tiempo necesario para los fines del tratamiento; seguridad y confidencialidad del tratamiento.
  • Condiciones para entender válidamente prestado el consentimiento (artículo 7).
  • Que el responsable del tratamiento pueda probar que se prestó el consentimiento.
  • Regulación específica del derecho al olvido o derecho de supresión (artículo 17).
  • Principio de portabilidad de los datos (artículo 20).
  • Responsabilidad del responsable del tratamiento de los datos por la adopción y actualización de las medidas adecuadas (artículo 24).
  • Registro de las actividades de tratamiento (artículo 30).
  • Notificación a los interesados de las violaciones de seguridad (artículo 33).
  • Evaluación de impacto relativa a la protección de datos (artículo 35).
  • Consulta previa a la autoridad de control si se identifican riesgos en el tratamiento (artículo 36).
  • Configuración del delegado de protección de datos (artículos 37 a 39).
  • Regulación de las transferencias internacionales de datos (artículos 45 y 47).
  • Criterio “One stop shop para la reclamación de la violación de las obligaciones de protección de datos por parte de una multinacional (artículos 60 a 67).

Deja un comentario