Publicado el Reglamento General de Protección de Datos Europeo y las Directivas paralelas
El pasado 4 de mayo, tras varios años de tramitación, se han publicado en el Diario Oficial de la Unión Europea (DOUE) los instrumentos normativos que constituyen el nuevo marco europeo de protección de datos personales, esto es:
- el Reglamento Europeo 2016/679, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos por el que se deroga la Directiva 95/46/CE;
- la Directiva 2016/680, de 27 de abril, relativa a la protección de las persona físicas respecto al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales por la que se deroga la Decisión Marco 2008/977/JAI; y
- la Directiva 2016/681, de 27 de abril, relativa a la utilización de datos del registro de nombre de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave.
El Reglamento General de Protección de Datos europeo supone el mayor hito legislativo en materia de privacidad y protección de datos personales en Europa en los últimos 20 años, viniendo a sustituir (y derogar) a la Directiva 95/46/CE. Como Reglamento europeo, esta norma resulta de aplicación directa en todos los Estados Miembros sin necesidad de transposición si bien, dada la enorme importancia de las modificaciones que van a resultar necesarias, la propia norma establece que será de obligado cumplimiento sólo a partir del 25 de mayo de 2018 (a pesar de que entra en vigor a los 20 días de su publicación).
La entrada en vigor del Reglamento supondrá asimismo un paso decisivo en la unificación de los criterios y requisitos que se venían exigiendo para el tratamiento de datos personales en los distintos Estados Miembros.
Durante estos dos próximos años hasta su obligatoriedad, los Estados Miembros deberán adoptar las medidas necesarias para adaptar sus legislaciones nacionales a la nueva normativa. Además, en esos dos años deberá transponerse el contenido de las Directivas que han sido publicadas conjuntamente con el Reglamento y completan el nuevo marco normativo de la privacidad en Europa.
Por su parte, las empresas y profesionales tienen igualmente una exigente labor de actualización destinada a adaptar toda su organización a las obligaciones del nuevo Reglamento, lo que implica no sólo cambios cosméticos o formales sino, en algunos casos, verdaderos cambios internos tanto organizativos como operativos y de procedimiento. Así, entre otros aspectos, se refuerzan las obligaciones de información a los interesados, se crea la figura del Delegado de Protección de Datos dentro de la empresa dotado de un rango y nivel de responsabilidad muy elevados, se imponen obligaciones en caso de violación de la seguridad de los datos o se establece la obligación de realizar evaluaciones de impacto de privacidad en el desarrollo de nuevos productos y servicios.
El Reglamento se aplicará a todas las empresas europeas pero también a aquellas empresas de fuera de la UE que realicen actividades dentro de la UE que impliquen el tratamiento de datos personales, incluso si no tienen ningún tipo de presencia física en el territorio de la Unión.
Por último, se incrementan considerablemente los importes de las sanciones, que pueden llegar a ser de hasta 20.000.000€ o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, aplicándose la mayor de ambas.
Acabamos de entrar en un período transitorio complejo en el camino hacia el nuevo marco común en materia de protección de datos que afecta no solo a los obligados por el mismo si no también al legislador español y a la AEPD.
Profesionales de contacto
-
+34 91 514 52 00
-
+34 91 514 52 00