El pasado mayo se publicó la norma europea de mayor relevancia adoptada en los últimos años en materia de protección de datos. Se trata del nuevo reglamento de protección de datos.
El objetivo principal del nuevo reglamento, además de consensuar a nivel comunitario las garantías de protección sobre los datos de carácter personal tratados por las empresas, es reforzar el control de los usuarios sobre su información privada.
Algunas de las principales novedades que impondrá la nueva regulación son:
- Responsabilidad activa. Las empresas deben adoptar medidas que aseguren razonablemente que están cumpliendo con los principios, derechos y garantías que el reglamento establece.
- Nuevo sistema de recogida de datos. Los textos legales aplicados por la empresa deberán adaptarse a nuevas obligaciones informativas, incluyendo en ciertos casos un consentimiento inequívoco y/o explicito, los datos de contacto del Data Protection Office, el plazo de conservación y el derecho a presentar reclamación.
- Ampliación de los derechos de los interesados. Además de los derechos ARCO, se incluyen el derecho al olvido (derecho de los ciudadanos a solicitar que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos) y el derecho de portabilidad (que el interesado pueda solicitar recuperar sus datos en un formato que le permita su traslado a otro responsable).
- Nuevas obligaciones para los responsables de ficheros. Las entidades que traten datos personales deberán cumplir con nuevos deberes organizativos (designación de un Data Protection Officer; registro de las actividades de tratamiento de datos; notificación de una violación de seguridad en 72 horas; entre otros).
- Transferencias internacionales de datos. La autorización de la Agencia Española de Protección de Datos dejará de ser necesaria para transferir datos a terceros países cuando se usen las “cláusulas contractuales tipo” adoptadas por la Comisión Europea o normas corporativas vinculantes.
- Autoridades competentes. La autoridad de control principal competente será la del lugar donde el responsable cuente con su establecimiento principal (en caso de grupos de empresas multinacionales radicadas en la UE, será la que se corresponda con su sede central de operaciones).
- Nuevo régimen sancionador. Se endurecen las sanciones en caso de incumplimiento, con multas de hasta 20 millones de euros o de hasta el 4% del volumen de negocios a nivel mundial del infractor.
- Ventanilla única. Opción mediante la que los responsables establecidos en varios Estados miembros o que estando en un solo Estado miembro y hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE, tengan una única autoridad de protección de datos como interlocutora.
- Seudonimización. Se introduce el concepto de datos codificados para cuando los datos no puedan atribuirse a un interesado sin recurrir a información adicional, separada y sujeta a medidas de seguridad que garanticen el anonimato del mismo.
- Evaluación de impacto. Las empresas deberán asumir la responsabilidad de evaluar el grado de riesgo que representa para las personas que sean objeto de tratamiento, debiendo realizar una evaluación de impacto cuando se prevea un alto riesgo para los derechos, libertades e intereses legítimos de las mismas
- Se introduce la figura de corresponsable del tratamiento cuando existan varios responsables o encargados que determinen los fines y los medios del tratamiento. Los encargados de tratamiento estarán sujetos a las mismas sanciones que los responsables. La vacatio legis de esta nueva norma es de dos años, por lo que no será obligatoria hasta el año 2018, permitiendo a las empresas prepararse y adaptarse a las nuevas exigencias.
El pasado mayo se publicó la norma europea de mayor relevancia adoptada en los últimos años en materia de protección de datos. Se trata del nuevo reglamento de protección de datos.
El objetivo principal del nuevo reglamento, además de consensuar a nivel comunitario las garantías de protección sobre los datos de carácter personal tratados por las empresas, es reforzar el control de los usuarios sobre su información privada.
Algunas de las principales novedades que impondrá la nueva regulación son:
- Responsabilidad activa. Las empresas deben adoptar medidas que aseguren razonablemente que están cumpliendo con los principios, derechos y garantías que el reglamento establece.
- Nuevo sistema de recogida de datos. Los textos legales aplicados por la empresa deberán adaptarse a nuevas obligaciones informativas, incluyendo en ciertos casos un consentimiento inequívoco y/o explicito, los datos de contacto del Data Protection Office, el plazo de conservación y el derecho a presentar reclamación.
- Ampliación de los derechos de los interesados. Además de los derechos ARCO, se incluyen el derecho al olvido (derecho de los ciudadanos a solicitar que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos) y el derecho de portabilidad (que el interesado pueda solicitar recuperar sus datos en un formato que le permita su traslado a otro responsable).
- Nuevas obligaciones para los responsables de ficheros. Las entidades que traten datos personales deberán cumplir con nuevos deberes organizativos (designación de un Data Protection Officer; registro de las actividades de tratamiento de datos; notificación de una violación de seguridad en 72 horas; entre otros).
- Transferencias internacionales de datos. La autorización de la Agencia Española de Protección de Datos dejará de ser necesaria para transferir datos a terceros países cuando se usen las “cláusulas contractuales tipo” adoptadas por la Comisión Europea o normas corporativas vinculantes.
- Autoridades competentes. La autoridad de control principal competente será la del lugar donde el responsable cuente con su establecimiento principal (en caso de grupos de empresas multinacionales radicadas en la UE, será la que se corresponda con su sede central de operaciones).
- Nuevo régimen sancionador. Se endurecen las sanciones en caso de incumplimiento, con multas de hasta 20 millones de euros o de hasta el 4% del volumen de negocios a nivel mundial del infractor.
- Ventanilla única. Opción mediante la que los responsables establecidos en varios Estados miembros o que estando en un solo Estado miembro y hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE, tengan una única autoridad de protección de datos como interlocutora.
- Seudonimización. Se introduce el concepto de datos codificados para cuando los datos no puedan atribuirse a un interesado sin recurrir a información adicional, separada y sujeta a medidas de seguridad que garanticen el anonimato del mismo.
- Evaluación de impacto. Las empresas deberán asumir la responsabilidad de evaluar el grado de riesgo que representa para las personas que sean objeto de tratamiento, debiendo realizar una evaluación de impacto cuando se prevea un alto riesgo para los derechos, libertades e intereses legítimos de las mismas
- Se introduce la figura de corresponsable del tratamiento cuando existan varios responsables o encargados que determinen los fines y los medios del tratamiento. Los encargados de tratamiento estarán sujetos a las mismas sanciones que los responsables. La vacatio legis de esta nueva norma es de dos años, por lo que no será obligatoria hasta el año 2018, permitiendo a las empresas prepararse y adaptarse a las nuevas exigencias.
El pasado mayo se publicó la norma europea de mayor relevancia adoptada en los últimos años en materia de protección de datos. Se trata del nuevo reglamento de protección de datos.
El objetivo principal del nuevo reglamento, además de consensuar a nivel comunitario las garantías de protección sobre los datos de carácter personal tratados por las empresas, es reforzar el control de los usuarios sobre su información privada.
Algunas de las principales novedades que impondrá la nueva regulación son:
- Responsabilidad activa. Las empresas deben adoptar medidas que aseguren razonablemente que están cumpliendo con los principios, derechos y garantías que el reglamento establece.
- Nuevo sistema de recogida de datos. Los textos legales aplicados por la empresa deberán adaptarse a nuevas obligaciones informativas, incluyendo en ciertos casos un consentimiento inequívoco y/o explicito, los datos de contacto del Data Protection Office, el plazo de conservación y el derecho a presentar reclamación.
- Ampliación de los derechos de los interesados. Además de los derechos ARCO, se incluyen el derecho al olvido (derecho de los ciudadanos a solicitar que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos) y el derecho de portabilidad (que el interesado pueda solicitar recuperar sus datos en un formato que le permita su traslado a otro responsable).
- Nuevas obligaciones para los responsables de ficheros. Las entidades que traten datos personales deberán cumplir con nuevos deberes organizativos (designación de un Data Protection Officer; registro de las actividades de tratamiento de datos; notificación de una violación de seguridad en 72 horas; entre otros).
- Transferencias internacionales de datos. La autorización de la Agencia Española de Protección de Datos dejará de ser necesaria para transferir datos a terceros países cuando se usen las “cláusulas contractuales tipo” adoptadas por la Comisión Europea o normas corporativas vinculantes.
- Autoridades competentes. La autoridad de control principal competente será la del lugar donde el responsable cuente con su establecimiento principal (en caso de grupos de empresas multinacionales radicadas en la UE, será la que se corresponda con su sede central de operaciones).
- Nuevo régimen sancionador. Se endurecen las sanciones en caso de incumplimiento, con multas de hasta 20 millones de euros o de hasta el 4% del volumen de negocios a nivel mundial del infractor.
- Ventanilla única. Opción mediante la que los responsables establecidos en varios Estados miembros o que estando en un solo Estado miembro y hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE, tengan una única autoridad de protección de datos como interlocutora.
- Seudonimización. Se introduce el concepto de datos codificados para cuando los datos no puedan atribuirse a un interesado sin recurrir a información adicional, separada y sujeta a medidas de seguridad que garanticen el anonimato del mismo.
- Evaluación de impacto. Las empresas deberán asumir la responsabilidad de evaluar el grado de riesgo que representa para las personas que sean objeto de tratamiento, debiendo realizar una evaluación de impacto cuando se prevea un alto riesgo para los derechos, libertades e intereses legítimos de las mismas
- Se introduce la figura de corresponsable del tratamiento cuando existan varios responsables o encargados que determinen los fines y los medios del tratamiento. Los encargados de tratamiento estarán sujetos a las mismas sanciones que los responsables. La vacatio legis de esta nueva norma es de dos años, por lo que no será obligatoria hasta el año 2018, permitiendo a las empresas prepararse y adaptarse a las nuevas exigencias.