Desde el 25 de mayo de 2018 es obligatorio el cumplimiento del Reglamento Europeo de Protección de Datos (RGPD), para todos los estados miembros de la UE.
Este Reglamento garantiza un nuevo marco normativo sólido y coherente para la protección de las personas físicas, en los que respecta al tratamiento de los datos personales y a la libre circulación de estos datos entre los Estados miembros.
En España, las disposiciones del RGPD se desarrollan en la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), publicado el pasado 6 de diciembre de 2018 en el BOE que adapta la normativa española a la nueva regulación europea.
Entre los objetivos del Reglamento podemos destacar la homogenización de la legislación en los Estados miembros, de cara a alcanzar los fines del mercado único digital, así como mejorar la protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales, exigiendo la adopción de medidas técnicas y organizativas apropiadas.
Dentro de las novedades que establece el reglamento, cabe mencionar las siguientes:
- El consentimiento debe realizarse mediante una manifestación inequívoca o una clara acción afirmativa del interesado a la hora de aceptar el tratamiento de los datos de carácter personal que le conciernen.
- El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.
- La obligación de notificación de las quiebras o violaciones de seguridad tanto a la autoridad de control competente como al interesado, cuando la misma entrañe un riesgo para los derechos y libertades de los interesados.
- Las multas a imponer por vulneración del nuevo marco jurídico podrán alcanzar hasta 20 millones de euros, o el 4% del volumen de negocio total anual global.
- Se establece la responsabilidad activa: la prevención por parte de las organizaciones que tratan datos de carácter personal.
- En cuanto al consentimiento de los menores, el Reglamento establece que los menores podrán prestar el consentimiento por sí mismos a partir de los 16 años (14 años en la LOPDGDD) para el tratamiento de sus datos personales. No obstante, permite a los Estados miembros que sea de aplicación la edad que tengan consagrada en su ordenamiento interno, siempre que la misma sobrepase los 13 años.
- La adopción de medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece:
- Protección de datos desde el diseño (privacy by design).
- Protección de datos por defecto (privacy by default).
- Mantenimiento de un registro de tratamientos.
- Nombramiento de un delegado de protección de datos (DPO).
- Notificación de violaciones de la seguridad de los datos.
- Evaluaciones de impacto para ciertas operaciones de tratamiento que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas.
- Promoción de códigos de conducta y esquemas de certificación, entre otros.