El 4 de mayo de 2016 se publicó en el Diario Oficial de la Unión Europea el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

El RGPD es aplicable desde el 25 de mayo de 2018. Pretende armonizar las normativas de los países miembros de la UE, las cuales se caracterizaban por su heterogeneidad y fragmentación.

Además, en diciembre de 2018 se publicó la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD 3/2018) y continuamente la Agencia Española de Protección de Datos, publica nuevas recomendaciones de cumplimiento.

A continuación se exponen, de forma breve, las principales obligaciones que impone el nuevo RGPD:

Registro de Actividades de Tratamiento

Desaparece la obligación de solicitar la inscripción de los ficheros responsabilidad de la empresa. En cambio, las empresas deberán elaborar dicho Registro, donde se deberá detallar toda la información relativa a cada uno de los tratamientos de datos personales que realice la empresa.

Novedades en materia de información

Las empresas han de usar un lenguaje sencillo y claro. Los interesados deberán entender qué se va a hacer con su información personal, por lo que se deberá informar para ello mediante formularios de recogida de datos, cartelería específica y avisos legales.

Páginas web

Las páginas web han de facilitar información clara, sencilla y accesible sobre la recogida y uso los datos personales de los usuarios. Así mismo, las políticas de privacidad excesivamente extensas y complejas carecen de sentido. En cuanto a las cookies, el Reglamento establece la necesidad de informar mediante una ventana emergente de que dicha página web usa cookies, debiendo aceptarse o rechazarse de forma expresa.

Consentimiento explícito

El consentimiento tácito deja de tener validez jurídica. El consentimiento deberá darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado (Considerando 32).

Contratos de Encargado de Tratamiento

La nueva normativa establece nuevas condiciones para todos los prestadores de servicios que necesiten acceso a los datos personales responsabilidad de la empresa.

Responsabilidad proactiva

Será la empresa quien deba de probar que efectivamente cumple con la normativa. Así mismo, desaparece el catálogo estándar de medidas de seguridad, debiendo la empresa implementar aquellas medidas que crean adecuadas en función del riesgo de las actividades de tratamiento.

Auditorías

Las empresas responsables del tratamiento deben realizar, con carácter anual, auditorías para verificar, evaluar y valorar la eficacia de las medidas técnicas y organizativas implantadas.

Violaciones de seguridad

Las empresas deben comunicar a la AEPD todas aquellas violaciones de seguridad de datos que detecten en el plazo de 72 horas. Del mismo modo, si dicha violación afecta a los derechos y libertades de personas, dicha comunicación también habrá de hacerse a las mismas, con un lenguaje claro y sencillo.

Videovigilancia

Se deberá informar de forma clara y sencilla de la instalación de sistemas de videovigilancia.

Nuevos derechos

Aparece la figura de tres nuevos derechos:

  • Portabilidad: Consistente en la posibilidad de que la persona pueda solicitar el traspaso de sus datos a otra empresa.
  • Derecho de supresión: O derecho al olvido, consistente en el derecho que tienen las personas a eliminar sus datos personales de internet en determinados supuestos.
  • Limitación: Supone suspender el tratamiento de los datos en determinados supuestos.

Evaluaciones de impacto

La empresa deberá llevar a cabo una Evaluación de Impacto cuando determinadas actividades de tratamiento conlleven un alto riesgo para los derechos y deberes de los interesados.

Delegado de Protección de Datos (DPD/DPO)

Se deberá nombrar un DPD que asegure el cumplimiento interno de la normativa en determinadas circunstancias.

Nuevo Régimen Sancionador

Se establecen, en función de la gravedad, multas de hasta 20 millones de euros o el 4% del volumen de facturación anual global de la empresa.