Nuevo Reglamento Europeo de Protección de Datos

Un nuevo Reglamento General de Protección de Datos ha entrado en vigor el 25 de mayo de 2016 aunque no comenzará a aplicarse hasta el 25 de mayo de 2018. Durante este tiempo los Estados miembros podrán adoptar las normas necesarias para facilitar la aplicación del Reglamento y comenzarán a planificar el registro de tratamientos de datos, a implantar las evaluaciones de impacto y a diseñar los procedimientos para notificar a la AEPD o a los interesados las quiebras de seguridad que pudieran producirse.

La ventaja de una pronta aplicación durante este tiempo por parte de las organizaciones es que permitirá detectar dificultades, insuficiencias o errores en una etapa en que estas medidas no son obligatorias y, en consecuencia, su corrección o eficacia no estarán sometidas a supervisión. Ello permitirá corregir errores para el momento en que el Reglamento sea de aplicación.

El Reglamento se aplicará a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

Por tanto el Reglamento será aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea.

Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos. En consecuencia las empresas deberán adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece.

Todas las organizaciones que tratan datos deberán realizar un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser operaciones muy simples en entidades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen datos sensibles, o tratamientos más complejas en entidades que desarrollen muchos tratamientos, que afecten a gran cantidad de interesados o que por sus características requieren de una valoración cuidadosa de sus riesgos.

Entre otras cosas las empresas deberán revisar sus avisos de privacidad ya que el Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que hasta la fecha no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puedan dirigir sus reclamaciones a las Autoridades de protección de datos.

Las organizaciones deben tener en cuenta que a partir de mayo de 2018 deberán realizar análisis de riesgo de sus tratamientos por lo que puede ser útil empezar desde ahora, entre otras cosas, a identificar el tipo de tratamientos que realizan y el grado de complejidad del análisis que deberán llevar a cabo.