Resumen Ejecutivo del nuevo Reglamento Europeo de Protección de Datos

30/05/2016
 

Resumen Ejecutivo del nuevo Reglamento Europeo de Protección de Datos

 
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
El DOUE publicó el pasado 4 de mayo el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Su aprobación se basa en la protección de las personas físicas en relación con el tratamiento de datos personales, el cual se considera un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea («la Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
 
Esta normativa, junto con la nueva Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 compone el nuevo marco europeo de protección de datos. Como Reglamento, según se indica en el mismo, “será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro”.
 
 
a) Objeto del Reglamento y ámbito de aplicación.
  
El Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos; además de proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
 
En su ámbito de aplicación material, según su artículo 2, se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. No se aplicará, en particular:
  1. Al ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión;
  2. A la actividad de las autoridades con fines de prevención o investigación de delitos o de protección de la seguridad pública;
  3. A las actividades de los Estados miembros comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;
  4. Al tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.
El Reglamento se aplicará al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o fuera de ella, ampliando así su ámbito de aplicación territorial.
 
 
b) Articulado y principales novedades del Reglamento:
 
Como principales novedades que incorpora el nuevo Reglamento constarían las siguientes:
  1. Principios aplicables al tratamiento de datos (art. 5): Licitud, lealtad y transparencia; recogidos con fines determinados, explícitos y legítimos (“limitación de la finalidad”); limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”); exactos y actualizados (“exactitud”); mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales (“limitación del plazo de conservación”); tratados de tal manera que se garantice una seguridad adecuada de los datos personales (“integridad y confidencialidad”); el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).
  2. Condiciones para entender válidamente prestado el consentimiento y necesidad de que el responsable del tratamiento pueda probar que se consintió el tratamiento de sus datos personales (art. 7).
  3. Regulación específica del conocido como Derecho al olvido, o según la nueva redacción del art. 17, derecho de supresión.
  4. Se modifican los conocidos como derecho ARCO (Acceso, Rectificación, Cancelación y Oposición). El nuevo Reglamento se refiere ahora a los derechos de Transparencia (art. 12), Información (arts. 13 a 14), Acceso (art. 15), Rectificación (Art. 16), Supresión o derecho al olvido (art. 17), Limitación del tratamiento (art. 18), Portabilidad de datos (art. 20) y Oposición (art. 21).
  5. Responsabilidad del responsable del tratamiento de los datos por la adopción y actualización de las medidas adecuadas (art. 24).
  6. Registro de las actividades de tratamiento (art. 30).
  7. Comunicación a los interesados de las violaciones de seguridad (art. 34).
  8. Evaluación de impacto relativa a la protección de datos (art. 35).
  9. Consulta previa a la autoridad de control en caso de identificarse riesgos en el tratamiento (art. 36).
  10. Introducción de la figura del Delegado de protección de datos (arts. 37 a 39).
  11. Regulación de las transferencias internacionales de datos (arts. 45 y 47).
La entrada en vigor de este nuevo Reglamento plantea cuestiones como su convivencia con la LOPD en España, así como los procedimientos de registro de los ficheros en virtud de las normativas vigentes en nuestro país, y posibles derogaciones tácitas de ciertos preceptos de las mismas.