El próximo día 25 de mayo de 2018 comienza a ser directamente aplicable el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, RGPD).
Si bien está previsto que el legislador español apruebe la modificación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos (LOPD) y de su reglamento de desarrollo, esto es, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, dicha modificación se encuentra actualmente en fase de proyecto de ley, por lo que es probable que no llegue a ser aprobada antes del día 25 de mayo.
El RGPD supone un cambio importante en el modelo de protección de datos en Europa, pues modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser aplicadas por cada empresa teniendo en cuenta sus propias circunstancias.
A continuación, relacionaremos las principales novedades introducidas por dicha norma:
- El consentimiento debe prestarse mediante una acción positiva. El consentimiento tácito deja de ser válido, resultando necesaria una acción positiva e, incluso, en el caso de datos sensibles (origen étnico, opiniones políticas, salud, orientación sexual) se requiere un consentimiento explícito. El consentimiento obtenido debe ser verificable.
- El principio de responsabilidad activa. El responsable y el encargado de protección de datos deberán contar con los medios necesarios para demostrar que cumplen con las previsiones normativas en materia de protección de datos.Con el fin de cumplir este principio, se configuran una serie de medidas, entre las que destacaremos las siguientes:
– Medidas de seguridad específicas.
– Mantenimiento de un registro de actividades de tratamiento.
– El nombramiento de un delegado de protección de datos. En determinados supuestos, será obligatorio el nombramiento de un delegado de protección de datos (entidades públicas, entidades privadas que realicen tratamientos de datos especiales a gran escala o de categorías especiales, como centros sanitarios, docentes,…).
– Las evaluaciones de impacto.
– Notificación de violaciones o quiebras de seguridad a las autoridades de protección de datos.
– La promoción de códigos de conducta y esquemas de certificación.
- El derecho al olvido. Los interesados podrán solicitar el bloqueo de los resultados de los buscadores en internet respecto de los datos que se refieran a ellos y resulten obsoletos, incompletos, falsos, irrelevantes y sin interés público.
- El derecho a la portabilidad. El interesado podrá solicitar a la entidad que esté tratando sus datos que se los entregue en un formato que permita el traslado a otra entidad, incluso de forma directa.