Agencia Vasca de Protección de Datos

Euskadi.eus

Inicio

Estás en:
  1. Inicio
 

El nuevo reglamento de Protección de Datos es de obligado cumplimiento desde mañana

Fecha de publicación: 

Refuerza el control de las personas sobre sus datos.

Agencia Vasca de Protección de Datos

  • Refuerza el control de las personas sobre sus datos.
  • Aporta seguridad jurídica al garantizar una protección uniforme del derecho fundamental en toda la Unión Europea.
  • El régimen sancionador es más exigente y contempla multas que pueden alcanzar hasta los 20 millones de euros.

Gasteiz, 24/05/2018. La Agencia Vasca de Protección de Datos recuerda que el nuevo Reglamento General de Protección de Datos aprobado por el Parlamento Europeo y el Consejo el 27 de abril de 2016 será desde mañana, 25 de mayo, de obligado cumplimiento para todos los países de la Unión Europea. La legislación se adapta así a los nuevos retos que plantean las nuevas tecnologías y la globalización. Unos avances que permiten que autoridades públicas y organizaciones utilicen datos a una escala hasta ahora no contemplada con los riesgos que ello conlleva.

La nueva regulación refuerza la seguridad jurídica y fortalece la protección efectiva del derecho fundamental de las personas en toda la Unión, estableciendo obligaciones en el tratamiento de datos para todos los operadores económicos y las administraciones públicas con dos objetivos claros: Garantizar un nivel equivalente de protección de las personas físicas en la UE y la libre circulación de datos personales en todo el territorio de la Unión. Se agrava además el régimen sancionador existente hasta ahora y lo hace mucho más exigente de tal forma que las multas pueden alcanzar hasta los 20 millones de euros.

Derechos de las personas físicas

El nuevo Reglamento amplía las facultades de disposición y control de las personas sobre sus datos, a través del reconocimiento de nuevos derechos y el fortalecimiento de los ya existentes. Se amplían los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) con la inclusión del derecho de supresión, derecho al olvido, derecho a la portabilidad y a la limitación del tratamiento.

Toda información y comunicación relativa al tratamiento de datos personales debe ser accesible y fácil de entender, utilizando un lenguaje claro y sencillo. El Reglamento exige también que el consentimiento de las personas se exprese mediante una declaración inequívoca o una acción afirmativa clara sin que valga el consentimiento tácito. Por ello, el silencio de las personas y las casillas pre-marcadas no constituirán a partir de mañana un consentimiento válido.

Empresas y administraciones

El Reglamento establece una serie de principios que exigen un mayor compromiso de las organizaciones públicas o privadas con la protección de datos. En particular el “principio de responsabilidad proactiva” que prevé medidas como la protección de datos por diseño y por defecto, el mantenimiento de un registro de actividades de tratamiento, la implantación de medidas de seguridad en función de los riesgos, evaluación de impacto sobre la protección de datos cuando supongan un riesgo alto para los derechos y libertades de las personas, la notificación de violaciones de seguridad a las autoridades de control, y el nombramiento de un Delegado de Protección de Datos (DPD), obligatorio para las administraciones públicas y para las empresas según la naturaleza de su actividad, que traten un volumen de datos importantes o que estos pertenezcan a categorías especiales o sean relativos a condenas o infracciones penales.

Infracciones

 Una de las principales novedades del RGPD es que se endurecen las sanciones previstas que pueden llegar hasta los 20 millones de euros, en casos muy excepcionales y sobre todo para grandes multinacionales que manejen un volumen de datos importante. No obstante, también se exige que las sanciones sean individuales, efectivas, proporcionadas y disuasorias dependiendo de la naturaleza, gravedad y duración de la infracción, número de afectados y nivel de daños; intencionalidad o negligencia; medidas adoptadas para paliar los daños; grado de responsabilidad en función de las medidas aplicadas; infracciones anteriores; grado de cooperación con la autoridad; categorías de datos afectados; si el responsable o encargado notificó la infracción; medidas adoptadas previamente, y cualquier otro factor agravante o atenuante.

En el caso de que se sancione a las personas físicas, el RGPD establece que se debe considerar el nivel general de ingresos prevaleciente en el Estado miembro, y la situación económica de la persona sancionada.

Dos años de paréntesis

Desde que el Parlamento Europeo y el Consejo  aprobaron el 27 de abril de 2016 el nuevo RGPD hasta su fecha de obligado cumplimiento, mañana, han transcurrido dos años en los que tanto la Agencia Vasca de protección de Datos, la Agencia Española DE Protección de Datos y la Autoridad Catalana de Protección de Datos, han colaborado estrechamente para dotar a todos los agentes concernidos con el nuevo Reglamento de una serie de herramientas para facilitar su labor de adaptación. Se han impartido además decenas de cursos de formación y se han atendido cientos de consultas tanto de particulares como de administraciones públicas y empresas. Algunas de esos recursos se pueden encontrar en la página web de la Agencia www.avpd.eus en los siguientes enlaces:

Más información sobre el Reglamento General de Protección de Datos