El pleno del Parlamento Europeo aprobó después de cuatro años el nuevo reglamento general de protección de Datos, que reemplazará a la Directiva del año 1995, aunque su aplicación será dentro de dos años, en el 2018.
De la lectura del mismo, se extrae, la intención de garantizar en toda la Unión, que la aplicación de las normas de protección de los derechos y libertades de las personas en relación con el tratamiento de los datos de carácter personal sea coherente y homogénea, respecto de las normativas vigentes de los países de la Unión Europea y dar más control a los ciudadanos ´interesados¨ sobre su información privada.
El objeto de la presente es analizar parte de las novedades que entendemos de mayor relevancia del Reglamento recientemente aprobado.
Debe de información / Derechos de los interesados
Se amplía la obligación respecto del deber de informar a los interesados, de tal forma que las cláusulas informativas como novedad deberán contener:
1. El contacto del responsable del tratamiento así como del representante y del delegado de protección de datos, en su caso.
2. El plazo durante el cual se conservarán los datos y en sus defectos establecer el medio para poderlo determinar
3. Los derechos que tiene el interesado:
- Acceso
- Rectificación
- Cancelación
- Oposición
- Limitación
- Portabilidad
- La posibilidad de retirar el consentimiento en cualquier momento.
4. Informar del derecho que tienen a presentar una reclamación ante la autoridad de control
Como se puede comprobar á parte de lo que hasta la fecha se indicaba en el art. 5 de la Ley orgánica 15/1999 de Protección de Datos la cláusula informativa deberá ser más extensa de lo que actualmente se exige.
Principio de transparencia
El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro.
Este principio de transparencia debe de regir en todas las actuaciones de información que el responsable del tratamiento dirija al público o al interesado, de tal forma que se alude que la información:
- Sea Concisa
- Fácilmente accesible
- Fácil de entender
- Utilizándose un leguaje claro y sencillo.
Derecho de supresión / Derecho del olvido
Se regula el ¨el derecho al olvido¨, por medio del cual el interesado tiene derecho a obtener del responsable del tratamiento la supresión de los datos personales que le conciernan y la obligación del responsable del tratamiento a suprimir los datos sin dilación debida cuando concurran alguno de los supuestos marcados por el reglamento.
La obligación de la supresión por parte del responsable del tratamiento debe realizarse sin dilación.
Delegado de Protección de datos
Se crea la figura del delegado de protección de datos, que deberá crearse en los casos que las actividades del responsable y encargado del tratamiento consistan en operaciones de tratamiento que requiera una observancia habitual y sistemática de interesados a gran escala o se traten a gran escala datos calificados de categoría especial.
Se permite que referida figura a parte de poder ser nombrado una persona para un grupo empresarial que pueda ser tanto alguien que forme parte de la plantilla o un tercero bajo el marco de un contrato de servicios.
Edad mínima del consentimiento
El Reglamento establece que, en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considera lícito cuando cuente como mínimo con 16 años, aunque permite que los estados miembros podrán establecer por ley una edad que no sea inferior a 13 años.
Derechos ¨ARCO¨
Como ya se ha indicado los derechos del interesado no se limitan sólo a de acceso, rectificación, cancelación y oposición, sino que son:
- Acceso
- Rectificación
- Supresión (derecho al olvido)
- Limitación
- Notificación
- Portabilidad (la “portabilidad”, o el derecho a trasladar los datos a otro proveedor de servicios)
- Oposición
- Oposición al uso de datos personales a efectos de establecimiento de perfiles.
El plazo que el responsable del tratamiento tiene para poder contestar a las solicitudes de los interesados al respecto de referidos datos es de un mes que podrá prorrogarse dos meses más justificándose la dilación.
Certificaciones
Se fomentará la creación de mecanismos de certificación en materia de protección de datos, así como sellos, marcas de protección de datos para poder acreditar el cumplimiento de la legislación.
Violaciones de seguridad
Tal y como expresa el reglamento, en caso de la existencia de una violación de la seguridad de los datos personales, el responsable del tratamiento deberá notificarla a la autoridad de control competente a más tardar en 72 horas, de haberse detectado y suponga un riesgo para los derechos y libertades de las personas física.
Régimen sancionador
Se establecen sanciones muy severas contra los responsables o encargados del tratamiento que infrinjan las normas de protección de datos.
Las multas podrían alcanzar hasta los 20 millones de euros o el 4% del volumen de negocios total anual del ejercicio financiero anterior.