El pasado 14 de abril, el Parlamento Europeo aprobó el Reglamento EU relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, derogando con ello la Directiva 95/46/CE (Reglamento General de protección de datos).

Como ya informamos en Progreso 2, el nuevo Reglamento es fruto de una larga negociación de cuatro años, que culmina con una reforma que pretende devolver a los ciudadanos el control sobre sus datos personales, garantizar una aplicación coherente y homogénea de las normas relativas al tratamiento de datos de carácter general, y  asegurar que todos los países de la Unión Europea cuenten con los más altos estándares de protección, adaptados a la nueva era digital.

El Reglamento será de aplicación a partir de abril de 2018 a todas las empresas, aunque no estén establecidas en el territorio de la UE, que traten datos personales de ciudadanos europeos al dirigir sus bienes o servicios a los mismos, con independencia de dónde se produzca el pago.

Principales novedades

Entre otras disposiciones, el nuevo Reglamento incluye:

• Deber de información y consentimiento reforzado: necesidad de un consentimiento claro y afirmativo de la persona sobre el tratamiento de sus datos personales, que podrá ser revocado en cualquier momento.
• Derecho al olvido: mediante la rectificación o supresión de datos personales bajo determinadas condiciones.
• Derecho a la portabilidad: derecho a trasladar los datos a otro proveedor de servicios.
• Mayor protección de los datos de los menores de edad: los menores de 13 años necesitarán el consentimiento de sus padres para la apertura de cuentas en redes sociales. Este límite de edad puede ser ampliado a los 16 años por los estados miembros.
•  Notificación de violaciones de seguridad: en un plazo máximo de 72 horas se deben notificar al órgano de control las brechas de seguridad y al interesado si hay un alto riesgo para sus derechos y libertades.
•  Nuevos principios de la protección de datos: rendición de cuentas (“accountability") y protección de datos desde el diseño y por defecto. Implican que quien trata con datos personales lo haga considerando este derecho fundamental desde el comienzo, de manera que, adoptando las medidas adecuadas al riesgo que implica el tratamiento de los datos, pueda demostrarse  el cumplimiento.
•  Designación del Delegado de Protección de datos, obligatoria para determinadas empresas (del sector público y actividades de Big Data). Deberá ser designado atendiendo a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos.
• Ventanilla única: una empresa con filiales en varios estados miembros sólo tendrá que tratar con la autoridad de protección de datos del estado miembro de su establecimiento principal.
• Sanciones: de hasta 20 millones de euros o hasta el 4% del volumen de negocios (el importe más elevado).

Las medidas aprobadas por el Parlamento incluyen, además, una Directiva sobre protección de datos de carácter personal con fines policiales y judiciales. El objetivo es facilitar la cesión de datos dentro de la Unión Europea pero siempre manteniendo unas normas mínimas de tratamiento y vigilancia de dichos datos.  Con estas nuevas medidas se busca proteger a las personas implicadas en investigaciones policiales o procesos judiciales, ya sea como víctimas, acusados o testigos y, al mismo tiempo, facilitar la cooperación entre los cuerpos de seguridad y las autoridades judiciales.