El pasado 24 de noviembre el Congreso de los Diputados inició el proceso de tramitación para debatir, enmendar, y posteriormente aprobar la nueva Ley Orgánica de Protección de Datos. Ésta será la nueva norma básica que regulará en España el tratamiento de los datos personales por parte de las empresas y las Instituciones.

En una sociedad cada vez más digitalizada, los datos tienen una importancia creciente y, de hecho, basándose en su tratamiento, han ido surgiendo nuevos servicios e incluso desarrollándose descubrimientos científicos, como es el caso de la medicina cada vez más personalizada. A ello hay que sumarle la transferencia o cesión de datos más allá de las fronteras ya que los mercados son cada vez más globales. De ahí que sea lógico que en el seno de toda la Unión Europea se produzca una puesta al día de su regulación legal.

En nuestro país, la norma vigente en la actualidad es la Ley Orgánica de Protección de Datos (LOPD) de 1999, pero el próximo 25 de mayo entrará en vigor la aplicación del Reglamento General de Protección de Datos de la UE (RGPD) que fue aprobado por el Consejo y el Parlamento Europeo en abril de 2016. Con el objeto de adecuar y clarificar mejor en una norma reguladora todas las obligaciones, derechos y responsabilidades, el Gobierno ha elaborado este nuevo Proyecto de Ley, ahora en tramitación.

En efecto, al tratarse de un derecho a la intimidad recogido en la Constitución, existía ya una antigua Ley que fue modificada y actualizada por la de 1999, cuando la Unión Europea reguló este tema con una Directiva de 1995. (Las Directivas de la UE marcan los principios y obligaciones generales siendo cada Estado miembro quien las adapta o “traspone” a su legislación nacional; los Reglamentos, por el contrario, se aplican en todos los estados en su literalidad). Pero desde la aparición de esa Directiva, las diferentes trasposiciones nacionales han ido llevando a unas diferencias entre Estados Miembros que ahora se trata de corregir con esta nueva disposición con rango de Reglamento, y por tanto más unificada.

Aunque los principios que regulan la utilización de los datos personales no varían, ya que estamos ante la protección de derechos individuales, como son la libertad y la intimidad, el nuevo cambio normativo si incorpora algunas novedades relevantes en cuanto a su tratamiento.

En líneas generales, la normativa vigente establece para las empresas y las Instituciones, una serie de obligaciones en el tratamiento de los datos personales que manejan. Los datos de sus trabajadores, clientes, proveedores y personas con las que éstas se relacionan  deben ser tratados en ficheros, con carácter confidencial, por una persona encargada o responsable, y sus titulares tienen frente a ellas una serie de derechos que deben ser garantizados.

Son los derechos ARCO, o de acceso, rectificación, cancelación y oposición. La Agencia Español de Protección de Datos (AEPD) es la encargada de velar por el cumplimiento de la legalidad, y los incumplimientos, tienen unas sanciones importantes.

Con la nueva normativa, el nuevo RGPD y la nueva LOPD, cuando sea aprobada y entre en vigor, las obligaciones básicas no varían sustancialmente, si bien se incorporan nuevos elementos que exigen a toda empresa o Institución, una revisión de su sistema de tratamiento, mínima en algunos casos, y más profunda en otros.

Así, una novedad que incorpora el nuevo RGPD, recogida también lógicamente en la nueva Ley en tramitación, es el “principio de responsabilidad proactiva”. Esto es, el responsable del tratamiento de los datos aplicará las medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme al RGPD. Esto implica que debe realizar un análisis de qué tipo de datos se guardan, para qué y cómo se tratan, y documentarlo por si la AEPD así lo requiriera. Junto a esta novedad, que tiene sus implicaciones prácticas operativas, está también otra que está relacionada: el enfoque del riesgo. Las medidas deben de tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento de los datos, así como los riesgos para los derechos y libertades de las personas. Esto implica un planteamiento diferente según el tamaño y tipo de la organización.

Otras novedades importantes son: el consentimiento en el tratamiento debe ser “inequívoco”, esto es, no vale ya el consentimiento tácito o por omisión; la edad del consentimiento se reduce a los 13 años en la nueva Ley; una más clara regulación del derecho al olvido; la distinción entre encargado del tratamiento y responsable del tratamiento; una mayor transparencia al informar sobre el tipo de tratamiento a un titular; o las llamadas medidas de responsabilidad activa, incluido las “quiebras de seguridad”.

En definitiva, aunque como hemos dicho no varían los sustancialmente los derechos y las obligaciones de protección de los Datos Personales, su tratamiento sí va verse ligeramente afectado en un período de meses. De ahí que el nuevo marco legal que empezará a  aplicarse en 2018, concretamente a partir del  25 de mayo en el caso del Reglamento Europeo y a partir de la entrada en vigor de la nueva Ley cuando ésta sea aprobada, exigen al menos una revisión crítica del sistema de tratamiento de datos personales que tenemos implantado en nuestra organización, y de los cambios que, en su caso tenemos que introducir. No debemos olvidar que estamos ante la protección de un Derecho fundamental de las personas, ni que su incumplimiento por dolo o por simple negligencia, puede llevar consigo una importante sanción.

En Círculo Legal conocemos bien las implicaciones del tratamiento de los datos, así como los diferentes ámbitos en el proceso de transformación digital de la empresa. Por ello, estaremos encantados en poder aclararte cualquier duda o petición de información adicional, llamando a 91.563.85.12 o bien en la dirección de correo fernando.ballestero@circulolegal.es

 

 

 

 

Este sitio web usa cookies. Más información. ACEPTAR