El elemento central del conjunto legislativo de la Comisión es un Reglamento general de protección de datos. Este proyecto de Reglamento actualiza y moderniza los principios de la Directiva de protección de datos de 1995. En él se recogen los derechos de las personas y se establecen las obligaciones de los encargados y responsables del tratamiento de los datos. También se establecen los métodos para el cumplimiento de lo dispuesto en el Reglamento y el alcance de las sanciones para quienes infrinjan las normas.
En una reunión extraordinaria celebrada el 17 de diciembre de 2015, la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo manifestó su posición sobre el texto acordado en las negociaciones del diálogo tripartito entre el Consejo, el Parlamento Europeo y la Comisión. El 18 de diciembre de 2015, el Comité de Representantes Permanentes (Coreper) refrendó este texto transaccional.
El proyecto de Reglamento aborda varios aspectos fundamentales, siendo sin duda la figura del DELEGADO DE PROTECCIÓN DE DATOS uno de los cambios mas significativos.
El artículo 35 introduce la obligatoriedad de contar con un delegado de protección de datos en el sector público y en el sector privado, cuando se trate de grandes empresas o en caso de que las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que exijan un seguimiento periódico y sistemático (esto es, en aquellas organizaciones privadas que declaren el manejo y disposición de datos con nivel de protección ALTO).
Derechos de los interesados
El Reglamento enumera los derechos de los interesados, que son las personas cuyos datos son sometidos a tratamiento. Estos derechos dan a las personas un mayor control sobre sus datos personales, en particular gracias a:
- la necesidad de un consentimiento claro de la persona respecto del tratamiento de sus datos personales
- un acceso más fácil del interesado a sus datos personales
- los derechos de rectificación, supresión y «al olvido»
- el derecho de oponerse incluso al uso de datos personales a efectos de establecimiento de perfiles
- el derecho a la portabilidad de los datos de un prestador de servicios a otro
También se establece la obligación de los responsables (a quienes corresponde el tratamiento de los datos) de ofrecer información transparente y de fácil acceso a los interesados sobre el tratamiento de sus datos.
Cumplimiento
El Reglamento especifica las obligaciones generales de los responsables y de quienes tratan los datos personales en su nombre (encargados del tratamiento). Entre esas obligaciones se cuenta la de aplicar medidas de seguridad adecuadas en función del riesgo derivado de las operaciones de tratamiento de datos que realicen (método basado en el riesgo). Los responsables deberán también en ciertos casos notificar las violaciones de datos personales. Todas las autoridades públicas y las empresas que proceden a determinadas operaciones arriesgadas de datos deberán también nombrar un delegado de protección de datos.
Seguimiento e indemnización
El proyecto de Reglamento confirma la obligación existente para los Estados miembros de crear una autoridad de control independiente a nivel nacional. También pretende establecer mecanismos para lograr una aplicación coherente de la legislación sobre protección de datos en toda la UE. En particular, en los casos transfronterizos importantes en que estén implicadas varias autoridades nacionales de supervisión, se adoptará una única decisión de supervisión. Este principio conocido como de ventanilla única significa que una empresa con filiales en varios Estados miembros solo tendrá que tratar con la autoridad de protección de datos del Estado miembro de su establecimiento principal.
El proyecto de acuerdo comprende la creación de un Consejo Europeo de Protección de Datos. Este Consejo estará formado por los representantes de cada una de las 28 autoridades de control independientes y sustituirá al actual Comité del artículo 29.
El Reglamento reconoce el derecho de los interesados a presentar una reclamación a la autoridad de control, así como su derecho al recurso judicial, la compensación y la responsabilidad. Para garantizar la proximidad de los particulares en relación con las decisiones que les afecten, los interesados tendrán derecho a que uno de sus órganos jurisdiccionales nacionales revise la decisión de su autoridad de protección de datos. Esto será independiente del Estado miembro en que esté establecido el responsable del tratamiento de que se trate.
Dispone sanciones muy severas contra los responsables o encargados del tratamiento que infrinjan las normas de protección de datos. Los responsables del tratamiento podrían ser multados con hasta 20 millones de euros o el 4% de su volumen de negocios total anual. Las autoridades de protección de datos nacionales serán las que impongan estas sanciones administrativas.
Transferencias a terceros países
El Reglamento también abarca la transferencia de datos personales a terceros países u organizaciones internacionales. Con este fin, encomienda a la Comisión la evaluación del nivel de protección que ofrece un territorio o un sector de tratamiento en un tercer país. Cuando la Comisión no haya adoptado una decisión de adecuación sobre un territorio o sector, la transferencia de datos personales se puede seguir realizando en casos especiales o cuando existan garantías apropiadas (cláusulas tipo de protección de datos, normas corporativas vinculantes, cláusulas contractuales).
Siguientes etapas
El texto se someterá ahora a la adopción de un acuerdo político en una de las próximas sesiones del Consejo. A continuación se presentará para su adopción como posición del Consejo en primera lectura, antes de remitirlo al Parlamento para su aprobación.
El Reglamento entrará probablemente en vigor en la primavera de 2016 y será aplicable a partir de la primavera de 2018.
Si quieres obtener una copia del documento en español, escríbenos a atcliente@qmaconsultores.com solicitandonos la misma y te la eviaremos lo antes posible.
Q&MA CONSULTORES BLOG 