Continuamos analizando el impacto del nuevo Reglamento a la luz de lo publicado por la Agencia Española de Protección de Datos (AEPD).

Como muchos de vosotros ya sabéis, se ha publicado el Reglamento UE 2016/679 y 680 relativo a la protección a las personas físicas, en lo que respecta al tratamiento de datos personales, y que deroga la Directiva 95/46/CE sobre el mismo tema.

Este nuevo reglamento pretende unificar las distintas normativas nacionales, por una sola, aplicable al conjunto de la Unión Europea. Aunque entró en vigor a los 20 días de su publicación, el 27 de abril del 2016, solo será exigible a partir del 25 de mayo de 2018, tras lo cual, será obligatorio en todos sus elementos y directamente aplicable en cada estado miembro, sin que sean necesarias normas de transposición.

La nueva normativa, viene a reforzar y a unificar algunos aspectos, e introduce variaciones importantes o nuevos términos como:

• Garantía del derecho a la privacidad desde el inicio mismo del diseño de las aplicaciones
• Obligatoriedad de que el consentimiento sea inequívoco, explícito y verificable
• Aumento de derechos de los afectados, incluyéndose el derecho al olvido.
• Limitación del tratamiento y portabilidad de datos
• Nueva figura del Delegado de Protección de Datos y nuevo Registro de Actividades de Tratamiento
• Obligaciones expresas para los encargados del tratamiento y exigencia de garantía por parte del responsable del mismo

La nueva normativa hace mucho hincapié en el Principio de Responsabilidad Proactiva, esto es, en la vigilancia y supervisión periódica y proactiva de las medidas de seguridad necesarias para garantizar que solo los usuarios autorizados tienen acceso a los datos de carácter personal. Esta medida de carácter periódico en el tiempo, se combina con otro de los grandes principios de esta nueva ley: el enfoque de riesgo. Este principio, hace relación a la necesidad de plantearse, de manera previa a la actividad, el riesgo que el tratamiento de datos supone de cara a los derechos y libertades de los afectados debiendo determinar la naturaleza, el ámbito, el contexto y el fin del tratamiento.

Otra novedad es la inclusión, además del consentimiento, de otros tipos de legitimidad a la hora de tratar los datos, como son la relación contractual, los intereses vitales del interesado u otras personas, obligaciones legales de responsable, etc., así como el cambio de criterio de que las medidas de seguridad solo dependieran del tipo de dato a tratar.

Finalmente, entre otras modificaciones que no tenemos tiempo de incluir en este artículo, destacamos la obligatoriedad de notificación a la AEPD y a los afectados, en casos graves de quiebra de la seguridad que suponga riesgo para los derechos o libertades o posibles perjuicios económicos o morales de los afectados.

De cualquier manera, esta normativa viene a impulsar la idea de que, esté en dónde esté el fichero en cuestión, incluso, fuera de la Unión Europea, el responsable del tratamiento de datos estará sometido a las mismas obligaciones, independientemente del país de la Unión Europea en donde resida.

Desde Integra queremos facilitar a los centros educativos, y demás clientes, todas las herramientas necesarias para el cumplimiento de la ley en lo que respecta a protección de datos de carácter personal.

4 de septiembre de 2017

Diego Echeverri Uribe
Director Tecnológico
Integra Información y Comunicación, S.L.