El nuevo Reglamento Europeo de Protección de Datos (UE) 206/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, se aplica desde el 25 de mayo de 2018 y deroga la anterior Directiva 95/46/CE.

Este Reglamento moderniza la normativa europea sobre protección de datos y unifica las legislaciones de los diferentes estados miembros, lo que implica un avance hacia la consecución de un verdadero mercado único digital.

Se ha diseñado para permitir a los ciudadanos un mejor control sobre sus datos personales y para generar así mayor confianza a los consumidores europeos que realicen compras online en diferentes estados de la unión.

En este artículo explicamos las 10 novedades más relevantes que se deben de conocer para cumplir con el nuevo reglamento:

1. Nuevos Principios:

Principio de transparencia: Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado.
Principio de limitación de la finalidad: Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
Estos fines explícitos y legítimos deberán determinarse en el momento de la recogida de los datos.
Minimización de Datos: Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

2. Nuevos Derechos:

A los derechos de Acceso, Rectificación, Cancelación y Oposición, con el nuevo Reglamento se añaden:
Derecho a la transparencia de la información, de supresión (derecho al olvido), de limitación y el derecho de portabilidad.

3. Ampliación del deber de información:

Desde mayo de 2018, a los datos que anteriormente se exigía informar, el nuevo precepto exige la obligación de informar sobre los siguientes datos:
Se tiene que explicar la base legal para el tratamiento de los datos
Se debe informar acerca del periodo de conservación.
Se debe informar acerca de la posibilidad de hacer reclamaciones
Se debe informar de los demás derechos que incorpora el nuevo Reglamento.

4. Obtención del consentimiento para el tratamiento de datos:

Para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad.
Desde mayo de 2018 no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será menos de 13 años.

5. Establecer acciones y medidas de seguridad:

El nuevo Reglamento no distingue entre los niveles de los ficheros (básico, medio o alto), sino que especifica que se apliquen medidas de seguridad teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

6. Evaluación de impacto del tratamiento de datos personales:

Otra nueva obligación que se establece es la de realizar una evaluación de impacto, para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas. Se debe evaluar el origen, la naturaleza, la particularidad y la gravedad del riesgo.

7. Comunicación de fallos a la autoridad de protección de datos:

El responsable del tratamiento de los datos deberá notificar a la autoridad competente (AEPD en España) cualquier brecha de seguridad que se haya producido en el plazo de 72 horas desde que ocurra. Además, si la brecha implica un riesgo para los interesados, también se les deberá notificar a ellos.

8. La figura del Delegado de Protección de Datos:

Esta persona es el asesor de protección de datos de la empresa, y asume competencias en materia de coordinación y control del cumplimiento en materia de protección de datos.

9. Las autoridades de protección de datos:

Para los titulares de los datos se establece un sistema de ventanilla única, lo que significa que en caso de que tengan que realizar una reclamación dentro de cualquiera de los Estados miembros, podrán acudir ante la autoridad de su país.

10. Sanciones más altas:

Si hasta mayo de 2018 las sanciones pueden ir desde 900 euros hasta 600.000, a partir de entonces no se establecen cuantías mínimas y las máximas pueden alcanzar los 20 millones de euros o hasta el 4% del volumen de negocio del infractor.