Lunes, 25 Abril 2016

Aprobado por el Parlamento Europeo el texto definitivo del Reglamento Europeo de Protección de Datos

VolverEl pasado 14 de abril el Parlamento Europeo aprobó el texto definitivo del que ya es conocido como nuevo Reglamento Europeo de Protección de Datos, que sustituye a la actual normativa de la Unión Europea en la materia. Particularmente, deroga y sustituye a la Directiva 95/46/CE hasta ahora vigente. Será de aplicación directa en todos los estados miembros, sin necesidad de que estos procedan a su trasposición por medio de una norma nacional.

El nuevo Reglamento entrará en vigor a los 20 días de su publicación en el Diario Oficial de la Unión Europea, pero no será de aplicación para empresas, ciudadanos y administraciones hasta dos años más tarde. No obstante, dada la importancia de los cambios que introduce, es muy conveniente que tanto las empresas como las administraciones públicas comiencen cuanto antes a planificar los cambios que serán necesarios para su implantación.

Como abogados expertos en materia de Protección de Datos, iremos analizando en éste y sucesivos artículos aquellos aspectos del nuevo Reglamento que resulten más novedosos o que, por la materia de que se trate, generen un mayor interés para nuestros clientes.

En esta ocasión, queremos centrar nuestra atención en dos novedades que, indudablemente, resultan llamativas para muchos:

Por una parte, frente a la actual regulación en España, que desde hace años ha venido exigiendo que las empresas y entidades procedan a inscribir sus ficheros ante la Agencia Española de Protección de Datos, con el nuevo Reglamento desaparecerá con carácter general esa obligación, que será sustituida por una obligación de registro interna, salvo las excepciones reglamentariamente previstas.

Así, en lugar de inscribir sus ficheros ante la AEPD, las empresas deberán llevar un registro interno y por escrito de las actividades de tratamiento que realicen, con un contenido muy similar al que actualmente se inscribe en la AEPD mediante el Sistema NOTA.

En el caso de empresas u organizaciones que empleen a menos de 250 personas, esta obligación de registro interno sólo será de aplicación cuando el tratamiento que realicen no sea ocasional, o pueda entrañar un riesgo para los derechos y libertades de los interesados, o incluya determinadas categorías especiales de datos personales (datos relativos al origen étnico o racial, a opiniones políticas, a convicciones religiosas o filosóficas o a afiliación sindical, tratamiento de datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexuales de una persona física, o datos relativos a condenas e infracciones penales).

El Responsable y/o el Encargado del Tratamiento pondrán sus respectivos registros internos a disposición de la Autoridad de Control que lo solicite.

Hemos de aclarar, no obstante, que la normativa nacional actualmente vigente en España (básicamente, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su Reglamento de desarrollo aprobado por Real Decreto 1720/2007, de 21 de diciembre) seguirá en vigor mientras no sea expresamente derogada, por lo que, durante el período de 2 años que mediará entre la publicación en el DOUE del nuevo Reglamento Europeo y su aplicación práctica, la normativa española y las obligaciones que conlleva seguirán siendo de obligado cumplimiento para las empresas.

Por otra parte, es también de destacar que, cuando una empresa u organización sufra una violación de la seguridad que afecte a datos personales, el Responsable del Tratamiento deberá notificarlo a la Autoridad de Control competente sin dilación indebida alguna y, si es posible, dentro de las 72 horas posteriores a haber tenido constancia de la misma.

La notificación de la empresa u organización a la Autoridad de Control deberá, como mínimo:

a) Describir la naturaleza de la violación de la seguridad de los datos personales y las categorías y número aproximado de interesados y de registros de datos personales afectados.

b) Comunicar el nombre y los datos de contacto del Delegado de Protección de Datos (DPO por sus siglas en inglés), o de otro punto de contacto en el que pueda obtenerse más información.

c) Describir las posibles consecuencias de la violación de la seguridad de los datos personales.

d) Describir las medidas adoptadas o propuestas por el Responsable del Tratamiento para poner remedio a la violación de la seguridad de los datos personales, así como las medidas adoptadas para mitigar los posibles efectos negativos.

A los Encargados del Tratamiento se les impone, a su vez, la obligación de notificar a los Responsables del Tratamiento, sin dilación indebida, sus propios fallos de seguridad.

Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el Responsable del Tratamiento deberá comunicarla también al interesado, sin dilación indebida y en un lenguaje claro y sencillo.

Esta es sin duda una de las muchas novedades del Reglamento que más impacto tendrán para las empresas, teniendo en cuenta que las sanciones que el nuevo Reglamento impone en caso de incumplimiento son ciertamente elevadas. De este tema, por su relevancia, trataremos en detalle en artículos posteriores.

En el Departamento de Derecho Digital de Belzuz Abogados, como abogados expertos en Protección de Datos, estamos a disposición de nuestros clientes para aclarar cualquier duda que les pueda surgir respecto a sus nuevas obligaciones y responsabilidades bajo el nuevo Reglamento y para ayudarles a planificar los procesos de adaptación necesarios en cada caso.

Departamento de Tecnologías de la Información y de la Comunicación (TIC)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Negligencias médicas Portugal

+351 968559667

PRIMERA CONSULTA GRATUITA


Asociaciones