El 25 de mayo de 2018 entrará en vigor el Nuevo Reglamento Europeo de Protección de Datos, sustituyendo a la Directiva Europea 95/46 de Protección de Datos. El Nuevo reglamento será de aplicación inmediata en toda la Unión Europea, y supone el cambio más significativo en este ámbito en los últimos 25 años.
Incluye una ampliación del ámbito territorial, refuerza los derechos de los individuos e incrementa las obligaciones de los responsables de fichero y de los encargados del tratamiento. Todo ello con un incremento de las sanciones económicas, pudiendo llegar a un máximo de 20 millones de euros o el 4% de la facturación anual si es superior.
La legislación impacta en los responsables de los ficheros, aquellos que determinan la finalidad y cómo se tratan los datos, y en los encargados del tratamiento que lo realicen en nombre del responsable. De hecho, con el Reglamento estos últimos pasan a tener una responsabilidad directa.
Los cambios principales del nuevo Reglamento Europeo de Protección de Datos
Se dan en las áreas de:
– Cambio en las condiciones del consentimiento: son más estrictas.
– Portabilidad de datos.
– Derecho al olvido.
– Privacidad por diseño y por defecto.
– Figura del Responsable de Protección de Datos.
– Registro de las actividades de tratamiento.
– Evaluación de impacto en la protección de datos.
– Notificación de fugas de datos.
– Cifrado y pseudoanonimización de datos.
– Revisión independiente.
Algunos de los cambios más significativos se han de abordar desde los aspectos organizativos y de proceso, pero en otros la tecnología tiene un papel importante para facilitar su cumplimiento. El Nuevo Reglamento sirve para mejorar la protección de datos en el diseño y para que sea el estado por defecto, protegiendo de esta manera el negocio y la reputación corporativa ante casos de fuga de datos por causas intencionadas (hacking) y/o involuntarias (i.e. envio de un correo electrónico).
En definitiva, el nuevo Reglamento Europeo va un paso más allá en cuanto a cumplimiento en cuanto a protección de datos personales por parte de las compañías. La seguridad tecnológica es uno de los aspectos que refuerza el Reglamento; tanto el responsable del tratamiento como su posible encargado, deben recordar que ese es un aspecto importante pero no el único de los que se deben cumplir y que muchos de ellos no tienen una base tecnológica (por ejemplo, el tener consentimiento para el tratamiento).