El 27 de abril de 2016 se aprobó y entró en vigor el Reglamento Europeo (UE RGPD 2016/679) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal y a la libre circulación de estos datos, y será directamente aplicable y obligatorio el 25 de mayo de 2018, fecha en la que todos los sujetos obligados por dicha normativa deberán tener sus tratamientos de datos de carácter personal adaptados a las nuevas condiciones y exigencias contenidas en la nueva norma.
A título enunciativo, las principales novedades del RGPD son:
-Se introduce el “Principio de responsabilidad proactiva” del responsable del tratamiento, quien deberá aplicar medidas técnicas y organizativas idóneas y eficaces a fin de garantizar una seguridad razonable en materia de protección de datos y poder acreditar que el tratamiento es ajustado a las exigencias del RGPD. Actitud consciente y compromiso con el cumplimiento normativo en materia de protección de datos.
-Se introduce la obligación de analizar el riesgo y efectuar evaluaciones de impacto sobre la privacidad, en base al criterio “Enfoque basado en el Riesgo”, desplazando a la empresa la responsabilidad de identificar y fundamentar las medidas de seguridad adoptadas.
-Se modifican e incrementan los requisitos en la forma del obtener el consentimiento.
-Se refuerza el derecho de la información del interesado.
-Se introduce la figura del Delegado de Protección de Datos (DPD) obligatoria en unos casos, voluntaria en el resto.
-Se añaden nuevos derechos del interesado, además de los derechos ARCO.
-Desaparece la obligatoriedad de notificar ficheros a la Agencia Española de Protección de Datos, introduciéndose la obligación, en algunos casos, de disponer de un registro de los tratamientos.
-Introduce la obligación de comunicar los fallos en la privacidad de los datos o vulneraciones del sistema, a la Agencia Española de Protección de Datos.
-El régimen sancionador incrementa las sanciones económicas, pudiendo alcanzar la cifra de 20 millones € o el 4% del volumen de negocio.
En definitiva, las empresas deberán adaptarse antes del 25 de mayo de 2018 a la nueva normativa europea en materia de Protección de Datos de Carácter Personal de las personas físicas.