LAS NOVEDADES DEL RGPD

Como las principales novedades de la normativa podemos señalar:

• Una extensión del ámbito territorial. Su aplicación se extiende más allá de la Unión Europea, puesto que, prevé en su artículo segundo que será aplicable al tratamiento de datos personales de residentes en la Unión “por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o bien el control de su comportamiento, en la medida en que este tenga lugar en la Unión” (art.3 del RGPD).

• Se amplía la obligación respecto del deber de informar a los usuarios y clientes y se obliga a que el consentimiento del usuario deberá ser siempre explícito, bajo una declaración o acción afirmativa.

• La figura del Delegado de Protección de Datos destaca como una figura OBLIGATORIA para las empresas de más de 250 empleados o menos cuando traten datos sensibles.

• Se exigen evaluaciones anteriores al tratamiento en cuanto a la seguridad de determinados datos por parte de los Delegados de Protección de Datos. Los niveles de seguridad han de estar asegurados sobre todo en cuanto a los datos sensibles.

• Las empresas tienen el deber de informar a las Autoridades sobre infracciones cometidas dentro de las mismas, así como sobre los posibles ataques del exterior hacía ficheros que tengan en su posesión (art. 33). Esto puede plantear la cuestión de cuándo se puede considerar que un controlador se ha “enterado” de un incumplimiento. El Grupo Europeo de Protección de Datos del art.29, considera que, un controlador debe considerarse “consciente” cuando tiene un grado razonable de certeza de que ha ocurrido un incidente de seguridad que ha afectado a datos personales comprometidos. Esto dependerá de las circunstancias de la infracción específica. En algunos casos, será relativamente claro desde el principio que ha habido una violación, mientras que, en otros, puede llevar un tiempo establecer si los datos personales se han visto comprometidos. Sin embargo, el énfasis debe estar en la acción inmediata para investigar un incidente para determinar si los datos personales han sido infringidos, y, si es así, para tomar medidas correctivas y notificar si es necesario.

• Las multas sobre posibles infracciones pueden llegar a alcanzar 200.000.000 €.

• Se elimina a su vez la obligación de inscripción de ficheros, aunque no se exime de llevar el control de los mismos por parte de responsable de tratamiento o delegado de protección de datos (debido a una escasa eficacia de dicha medida).

• Uno de los aspectos más relevantes del Reglamento es que da mucho más control a los ciudadanos sobre qué permiten o autorizan que se haga con sus datos.

• Se recomienda determinar la edad para prestar consentimiento para el tratamiento de los datos en 16 años, pero deja al arbitrio de los países miembros la fijación de esta hasta un límite de 13 años

• Aparecen conceptos como seudonimización de datos o principio de minimización de datos (art.4.5 RGPD).

• Se propicia la defensa del derecho a la protección de datos mediante asociaciones y elaboración de códigos de conducta por parte de estas (lo que se pretendía con el art. 27 de la Directiva 95/46/CE).

• Se incentiva a cambios en la normativa laboral en cuanto al consentimiento de los trabajadores para el tratamiento de sus datos.

Por otro lado, y como señala PABLO GARCÍA MEXÍA, el nuevo RGPD deja un amplio margen de desarrollo de Reglamento a los países miembros en materias como:
• Libertad de expresión e información (art. 85 RGPD)
• Acceso público a documentos oficiales (art. 86 RGPD)
• Número nacional de identificación (art. 87 RPGD)
• Ámbito laboral
• Fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos (art. 89 RGPD)
• Obligaciones de secreto (art. 90 RGPD)
• Protección de datos de iglesias y asociaciones religiosas (art. 91 RGPD)
• Procesamiento de datos por obligación legal
• Tratamiento realizado en misiones de interés público
• El tratamiento que llevan a cabo los poderes públicos de un determinado Estado.