LA UNIÓN EUROPEA APRUEBA EL REGLAMENTO DE PROTECCIÓN DE DATOS
Desde el Miércoles, 25 de mayo de 2016 Europa será distinta. El 25 de mayo de 2016 culmina un largo y complejo proceso legislativo iniciado en 2012 a propuesta de la Comisión Europea para la regulación de la privacidad en toda la Unión Europea.
La norma finalmente aprobada es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD). Publicado en el DOUE el pasado 4 de mayo de 2016, desde hoy, 25 de mayo, está en vigor.
Este reglamento, a diferencia de las directivas, tiene como principal efecto ser de directa aplicación en toda Europa, sin necesidad de incorporación por los Estados miembros a su Ordenamiento interno. No obstante, debido al calado y trascendencia de las nuevas normas y derechos regulados, será aplicable a partir del 25 de mayo de 2018. Así, durante los dos próximos años, cada Estado y todas las empresas y Administraciones públicas podrán realizar las modificaciones y ajustes necesarios para garantizar su cumplimiento.
El efecto directo de esta relevante regulación europea significa que desde hoy se establecen las normas para la protección de las personas físicas en cuanto al tratamiento de sus datos personales, así como también -y resulta igualmente importante- las normas para posibilitar la libre circulación de tales datos.
La entrada en vigor del reglamento supone la derogación de la Directiva 95/46/CE, hasta ahora vigente, si bien se puntualiza que dicha derogación tendrá efecto a partir del 25 de mayo de 2018, para permitir la plena adecuación de Estados, Administraciones públicas y empresas.
¿Y qué pasará con la conocida Ley Orgánica de Protección de Datos (LOPD)? Ciertamente el Reglamento no la deroga ni puede derogarla, pues dicha atribución -sin entrar en disquisiciones doctrinales- parece corresponder al Parlamento español. El Reglamento provoca el “desplazamiento normativo” de la LOPD en todo lo que se oponga a la regulación europea. Como confirman algunas autoridades consultadas, la LOPD quedará vigente hasta que se logre su completa derogación o bien su modificación para adecuarla al RGPD.
Además, el Reglamento europeo busca proteger los derechos y las libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales, tanto si son procesados por entidades privadas como por Administraciones públicas.
No sólo se reconocen los ya clásicos derechos de acceso, rectificación, cancelación y oposición, sino que se regulan dos nuevos derechos: el denominado “derecho al olvido”, como efectivo derecho de supresión, y la portabilidad de los datos.
También se detallan mejor, como garantías adecuadas para los interesados, las especificaciones y excepciones del deber de información y de los diversos derechos, los deberes de transparencia o la limitación del tratamiento de datos personales con fines de archivo en interés público, de investigación científica e histórica o fines estadísticos.
Otra novedad práctica muy significativa consiste en que el Reglamento se aplicará al procesamiento de datos de europeos por entidades establecidas en Europa, pero también por aquellas empresas situadas fuera de la Unión Europea que realicen actividades dentro de la UE y que impliquen el tratamiento de datos personales, incluso aunque no tengan presencia física en el territorio de la Unión.
A esta novedad se suma la obligación para las empresas y Administraciones de designar en ciertos casos a un «delegado de protección de datos» (DPO,Data Protection Officer) para garantizar el cumplimiento de la normativa ahora en vigor. La diferencia principal con el Responsable de Seguridad es la exclusividad del DPO en sus funciones. El DPO deberá ser designado en atención a sus cualidades profesionales y conocimientos normativos y prácticos especializados debidamente acreditados.
Finalmente, las cuantías de las sanciones se elevan sustancialmente, que pueden alcanzar hasta 20.000.000 o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Desde hoy comenzamos un período de transición complejo hacia un nuevo marco normativo de la privacidad en Europa, que interesa especialmente a ciudadanos y empresas.