Artículo sobre el nuevo reglamento de europeo de protección de datos.

José Miguel Iturmendi Rubia. Profesor de Teoría del Derecho y de Filosofía del Derecho en el CES Cardenal Cisneros

El próximo 25 de mayo será de aplicación el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Varias son las causas que obligan a este cambio normativo: en primer lugar, el aumento significativo del uso de Internet, debido a los avances tecnológicos y a la globalización; además se pretende reforzar la protección de los ciudadanos y reducir las cargas administrativas existentes. Lo que en definitiva se persigue es sustituir la caótica situación actual debido a la fragmentación normativa en la Unión Europea –ya que conviven veintisiete normas diferentes- aplicando directamente este Reglamento a todos los Estados miembros a fin de homogeneizar la legislación de los mismos y garantizar un nivel equivalente de protección para las personas físicas y la libre circulación de datos en Europa.

Una de las principales novedades radica en el ámbito territorial de aplicación. Mientras que la Ley Orgánica de Protección de Datos española sólo se aplicaba a ficheros que contuvieran datos personales que se encontraran ubicados en España, el Reglamento Europeo es de aplicación a cualquier fichero –con independencia de dónde se encuentre- que afecte a ciudadanos europeos. Esto viene a resolver los problemas de indefensión que se han planteado hasta el momento en Internet, principalmente respecto a las redes sociales o al uso de aplicaciones de terceros países.

Debemos igualmente destacar la responsabilidad activa que los prestadores de servicios de la sociedad de la información deben cumplir. Así, es obligatorio, y con carácter previo, la elaboración de Informes de Impacto de Privacidad en los casos en los que el tratamiento de datos suponga algún riesgo sobre los derechos y libertades de los particulares, como cuando tratamos datos especialmente protegidos, de menores, en supuestos de videovigilancia, monitorización, etc. Asimismo, esta nueva normativa promueve la protección de datos desde el diseño y por defecto, prohibiendo el uso de casillas premarcadas, almacenamiento de datos en perfiles públicos desde el origen y, en definitiva, promoviendo la transparencia y licitud en el tratamiento de datos personales.

Otra novedad importante es la prohibición de la admisión del consentimiento tácito por parte del interesado. A partir del veinticinco de mayo se deberá prestar siempre consentimiento expreso –escrito o verbal- para poder recabar datos personales de cualquier tipo y para cualquier fin.

Con el fin de prevenir y evitar problemas futuros, se deberá comunicar la existencia de cualquier brecha digital en un plazo no superior a 72 horas, tanto a los afectados como a la respectiva Autoridad de Control (en nuestro caso, la Agencia de Protección de Datos) Además, será necesario designar un Delegado de Protección de Datos tanto en las Administraciones Públicas –excepto Tribunales-, en los tratamientos de datos especialmente protegidos, datos de condenas o infracciones penales y en tratamientos que requieran una observación habitual y sistemática de interesados a gran escala.

Algunos derechos asociados a la protección de datos –como el derecho a la informacion- amplían su contenido. Otros surgen como novedad –el derecho al olvido o el derecho a la portabilidad de los datos-Destaca la importancia de la simplificación de las gestiones al reorientarnos al concepto de “ventanilla única”.

Y, aunque el espíritu del Reglamento es homogeneizar al máximo las legislaciones europeas, flexibiliza ciertas cuestiones dejando a cada Estado la fijación de los requisitos, por ejemplo, la determinación de la edad del menor para poder recabar sus datos (aunque nunca por debajo de trece años), el procedimiento del ejercicio de los derechos, etc.

Por último, destacar el incremento de la cuantía de las sanciones, hasta 20 millones de euros o el 4% de la facturación anual a nivel mundial de una empresa. Además, se debe tener en cuenta el nivel general de ingresos prevaleciente en el Estado miembro, así como la situación económica de la persona. Y, ahora sí, aplicables tanto a ficheros de titularidad privada como pública.

José Miguel Iturmendi Rubia. Profesor de Teoría del Derecho y de Filosofía del Derecho. Centro de Enseñanza Superior Cardenal Cisneros