Noemí Brito     Miembro del Comité Operativo del Data Privacy Institute (ISMS Forum), y Directora del Área de Derecho TIC en Legistel.
	El pasado 14 de abril, tras varios años de negociación y de continuas revisiones legislativas, el Parlamento Europeo, aprobó formalmente el nuevo paquete regulatorio en materia de protección de datos de carácter personal, en el que destaca el Reglamento General de Protección de Datos (en lo que sigue, “el Reglamento” o “RGPD”), y que deroga la actual Directiva 95/46/CE.

Con este Reglamento, que ha sido publicado hoy 4/05/2016 en el Diario Oficial de la Unión Europea, se pretende dotar de uniformidad a la aplicación de esta normativa en todos los países de la UE. Éste entrará en vigor el próximo 25 de mayo y será de aplicación directa en todos los países de la Unión a partir del 25 de mayo de 2018. Puede acceder a esta publicación a través del siguiente enlace directo:

Esta aprobación trae consigo una nueva etapa en lo que a la regulación europea sobre protección de datos personales concierne, y con ella se pretende dar respuesta a los nuevos desafíos de la privacidad que imponen las tecnologías emergentes, y a dotar de mayor poder al usuario sobre su información personal y evitar situaciones que impliquen la vulneración, en particular, en masa o a gran escala, de los derechos de los europeos. No se debe olvidar, que este Reglamento ha visto la luz en medio de un tenso debate internacional sobre el control real que ejercen dichos ciudadanos sobre su información personal, y acerca de la efectiva regulación y gestión de los flujos y transferencias internacionales de la misma desde la UE a países que no garantizan una adecuada protección en este ámbito, exista o no una decisión comunitaria que declare formalmente tales garantías. Como ya se ha comprobado, tras la anulación por el TJUE de la Decisión que amparaba el anterior sistema de "Safe Harbor", queda patente que la existencia de un marco formal no es suficiente, pues se deben reconocer y aplicar garantías efectivas de protección a este derecho fundamental.

Además, si por algo se caracterizan las tecnologías que se imponen hoy en día es por su carácter intensivo  en el tratamiento de la información de las personas. Seamos conscientes pues de lo que, en realidad, nutre y permite funcionar a apps, redes, plataformas, IoT, ciudades inteligentes, Big Data, robots, inteligencia artificial, etc, y que no es otra cosa que datos personales. Esto explica, por ejemplo, la introducción de la nueva definición y regulación asociada incluida en el Reglamento en relación al trazado de perfiles, no sólo para evitar que nos cataloguen de forma inexorable, sino también para poder oponernos y bloquear, si fuera necesario, decisiones que se puedan adoptar por terceros en base a tal trazado de personalidad.

Sin perjuicio de lo anterior, ¿cuáles son algunos de los principales aspectos que deben considerar las empresas tras esta reforma legislativa?

1. Revisar y, en su caso, reforzar los procesos informativos y de transparencia respecto al usuario, quien tras la reforma ostenta un derecho reforzado a la información sobre las actuaciones de la empresa en lo que concierne al tratamiento de datos personales.

2. Articular una estrategia adecuada para la correcta atención a los derechos del interesado, reconociéndose de forma expresa nuevos derechos tales como el derecho a la supresión (derecho al olvido), derecho a la portabilidad de los datos, o el derecho a la limitación en el tratamiento de los datos.

3. Incorporar los principios de “privacy by design” y “privacy by default” en todo tipo de tratamientos y procesos corporativos con datos personales.

4. Implementar el principio de “accountability”, que alude a la asunción de responsabilidad y de una actitud transparente por el responsable de tratamiento, sobre todo, en el caso de multinacionales que operan a escala global, en la adopción efectiva de medidas y políticas que garanticen el cumplimiento interno de principios y obligaciones en materia de protección de datos. Este principio se relaciona de forma directa con el llamado “Compliance Digital”.

5. Establecer protocolos internos para prevenir y, en su caso, reaccionar en caso de violaciones de la seguridad de los datos o brechas de información personal, en orden a cumplir las obligaciones de notificación de tal violación en el plazo máximo de 72 horas a la autoridad de control y a los propios usuarios, así como minimizar los posibles efectos jurídicos y reputacionales asociados. 

6.  Prever y contar con políticas claras en orden a la correcta identificación, contratación, control y auditoría de los encargados de tratamiento, en particular, cuando éstos operan fuera del Espacio Económico Europeo (EEE).

7. Llevar un Registro de Actividades de Tratamiento: Esta obligación será aplicable a empresas con más de 250 trabajadores, salvo que el tratamiento efectuado pueda entrañar riesgo para los derechos de los afectados, no sea ocasional o el tratamiento se refiera a determinadas categorías de datos indicados en el artículo 30.5 del Reglamento.

8. Revisar y adoptar medidas de seguridad adecuadas al tratamiento de datos personales actual o proyectado por la compañía y al nivel de riesgo que exista, incluyendo, la seudonimización y el cifrado de datos personales, y teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas.

9. Realizar, si fuera necesario, las pertinentes Evaluaciones de Impacto en Protección de Datos (EIPD) de conformidad con el artículo 35 del Reglamento. Destacar que la AEPD cuenta con una Guía previa a la aprobación del reglamento que, sin embargo, nos puede ayudar a orientar cómo enfocar su realización.

10. Si así se considera, nombrar a un Delegado de Protección de Datos o DPO, que actuará como interlocutor de la empresa frente a la autoridad de control y frente a los usuarios, salvo que tal nombramiento tenga carácter obligatorio según dispone el artículo 37 del Reglamento. El DPO podrá formar parte de la plantilla del responsable o desempeñar sus funciones en el marco de un contrato de servicios.

11. Revisar las transferencias internacionales o exportaciones de datos que se estén realizando fuera del EEE, a fin de adecuarlas a la nueva regulación europea. Si tales datos se están transfiriendo a EEUU se tendrá en cuenta el nuevo marco de actuación acordado denominado "Privacy Shield".

12. Conocer el nuevo régimen sancionador, que se endurece. Se introduce un nuevo e importante régimen sancionador que, según el tipo de infracción, puede implicar la imposición de multas por una cuantía equivalente a 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. 

En definitiva, se abre un proceso en el que, una vez entré en vigor el RGPD, los Estados contarán con un plazo de 2 años para desarrollar éste a nivel interno, resultando sus disposiciones directamente aplicables a partir de esa fecha.

Por ello, es conveniente que, en estos momentos, como mínimo, las empresas adopten las siguientes actuaciones:

• Hagan un análisis de la situación de partida de la empresa, evaluando los actuales riesgos de incumplimiento en los que se pueda estar incurriendo.
• En base a lo anterior, actualizar las políticas y procedimientos/protocolos internos en vigor a fin de incorporar las novedades contenidas en el Reglamento y mitigar y/o minimizar los riesgos legales asociados a posibles incumplimientos.
• Planificar y realizar los oportunos planes de concienciación y de formación del personal.