Nueva normativa europea sobre protección de datos

El próximo 25 de mayo de 2018 comenzará a aplicarse la nueva normativa europea sobre protección de datos que actualiza y adapta la gestión de los datos personales a los nuevos entornos digitales como Internet y aplicaciones para móviles. La tecnología ha permitido un incremento significativo en el intercambio de datos personales y las empresas privadas y las autoridades públicas utilizan grandes volúmenes de datos personales, información que fluye también de forma transfronteriza, por lo que se hacía necesaria una revisión en la protección de datos personales.

El Reglamento General de Protección de Datos (RGPD) —Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DOUE 4-5-2016)— entró en vigor el 25 de mayo de 2016, sustituyendo a la normativa española sobre la materia, si bien su aplicación práctica se demoró dos años para permitir que los Estados de la Unión Europea, las Instituciones y las empresas y organizaciones que tiene que tratar datos se fueran adaptando a las nuevas exigencias. Dado que se trata de un Reglamento comunitario, es directamente aplicable en todos los Estados miembros sin necesidad de que una norma interna recoja su contenido, y así queda de manifiesto en su propio texto al indicar que será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

En su artículo 1, el Reglamento establece que los datos serán:

a) Tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»)

b) Recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»)

c) Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»)

d) Exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»)

e) Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»)

f) Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)

El responsable del tratamiento será responsable del cumplimiento de estos requisitos y garantías y capaz de demostrarlo, lo que se ha venido a denominar «responsabilidad proactiva».

Uno de los pivotes de la normativa sobre protección de datos es el consentimiento. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del Reglamento General de Protección de Datos.

En cuanto a los derechos de los interesados en materia de protección de datos, a los ya conocidos de información, consulta, acceso, rectificación, cancelación y oposición, se suman los derechos de supresión o derecho al olvido, limitación del tratamiento y portabilidad de los datos.