Protección de datos: ¿Cómo afectará el futuro Reglamento a las empresas?

Protección de datos: ¿Cómo afectará el futuro Reglamento a las empresas?

Cada cambio normativo se convierte en un nuevo quebradero de cabeza para los afectados por la nueva legislación, que se ven obligados a adaptarse a ella para evitar incumplimientos. Es el caso de las miles de empresas y organizaciones que, en el marco de la Unión Europea, tendrán que asumir en 2018 una nueva regulación en materia de protección de datos. No se trata de un texto cualquiera: en él, tras años de negociaciones, convergen muchas de las protecciones que la era digital había puesto en entredicho. Se trata de un texto que comprende, entre otras cosas, el famoso derecho al olvido, y que otorga nuevos derechos a los propietarios de esos datos personales. ¿Cómo afectará este texto a las empresas?

Lo cierto es que el texto definitivo aun no ha visto la luz, aunque a finales del pasado año se alcanzó un acuerdo entre la Comisión Europea, el Parlamento Europeo y el Consejo de la Unión Europea sobre el que será el futuro texto del Reglamento General de Protección de Datos. Si todo sale bien, el Reglamento estará listo en marzo o abril de este año, pero hasta entonces podrían producirse modificaciones. Con todo, la nueva regulación promete convertirse en todo un reto para las empresas afectadas, que no se quedarán solo en el marco de la UE, ya que cualquier empresa que tenga datos personales de ciudadanos europeos tendrá que darles el tratamiento que el Reglamento exige.

Nuevos derechos para los ciudadanos

Uno de los puntos fuertes del Reglamento es que introducirá nuevos derechos para los ciudadanos. Por ejemplo, se partirá de nuevos principios reguladores: los tratamientos deberán ser justos, legales y transparentes, y los datos deberán ser obtenidos para finalidades específicas, explícitas y legítimas, y no usados para finalidades incompatibles. Igualmente deberán ser adecuados, relevantes y limitados a las finalidades previstas, debiendo ser actualizados o eliminados cuando sean inexactos.

Además, nacen nuevas obligaciones relacionadas con nuevas categorías especiales de datos: origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, pertenencia a sindicatos, datos genéticos y biométricos en orden a identificar singularmente a una persona o cualquier otro dato relativo a la salud, y vida u orientación sexual de una persona. Estos tratamientos quedan prohibidos salvo que se cuente con el consentimiento explícito del afectado o que se ampare en alguna de las excepciones previstas, entre otras: cumplimiento de obligaciones en materia de empleo y seguridad social derivadas del derecho de la Unión, Estados Miembros  o Convenios Colectivos, en interés vital de afectado o de otra persona que se encuentre física o mentalmente incapaz de prestar el consentimiento.

El texto también recoge lo que la jurisprudencia comunitaria ya ha ido reflejando: el llamado derecho al olvido, o lo que es lo mismo, el derecho que tiene el titular de un dato personal a borrar, bloquear o suprimir información personal que se considera obsoleta o no relevante por el transcurso del tiempo o que de alguna manera afecta el libre desarrollo de alguno de sus derechos fundamentales. También se hace especial hincapié en el nuevo texto al derecho a la portabilidad de los datos de un usuario de un sistema de tratamiento electrónico a otro, y se velará por un acceso más fácil a los datos personales.

¿Cómo afectará el Reglamento a las empresas?

Todos estos nuevos derechos para los ciudadanos se traducen inevitablemente en nuevas obligaciones para las empresas u organizaciones que traten estos datos. Por ejemplo, aparece la figura del delegado de Protección de Datos (Data Protection Officer), que deberá designarse en las Administraciones Públicas -excluyendo juzgados y tribunales-, así como las empresas, organizaciones y entidades que lleven a cabo un tratamiento de datos “a gran escala”. Aunque no está muy claro qué se entiende por “gran escala”, existen algunas pinceladas, como tener más de 250 trabajadores, o bien las empresas que, aun teniendo menos empleados, manejen datos especialmente sensibles, como los relacionados con salud, religión, etc.

Las empresas también tendrán una nueva obligación de realizar análisis de riesgos y evaluaciones de impacto antes de lanzarse al tratamiento de datos, con el fin de comprobar que cumplen con la normativa. La idea es identificar previamente los riesgos que un producto o servicio puede implicar para la protección de datos antes de que se materialicen. A ello se suma que, en caso de que se produzca alguna vulnerabilidad en estos sistemas de tratamiento de datos, las empresas estarán obligadas a notificar a la Autoridad de Control dichos casos. También deberán registrarse documentalmente las operaciones de tratamiento de datos, una obligación que afectará tanto a los responsables de fichero como a los encargados de tratamiento.

No todo son desventajas: otra novedad pasa por la creación de la ‘ventanilla Única’ (One-stop-shop), que permitirá que una empresa española con sedes en otros países de la UE sólo tenga que dirigirse a la autoridad de protección de datos española o a la del Estado miembro donde se encuentre su matriz.

¿Quieres saber cómo cumplir con la normativa en materia de protección de datos? Contacta con nosotros.

Protección de datos: ¿Cómo afectará el futuro Reglamento a las empresas?
Etiquetado en:                    

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies