Després de més de quatre anys de treballs, el ple del Parlament Europeu va aprovar el 14 d’abril de 2016, el Reglament general de protecció de dades. Es tracta d’ un únic marc normatiu per a tots els estats de la UE, adaptat a l’entorn digital, i que reemplaça a l’obsoleta Directiva, ratificada el 1995.
El Reglament entrarà en vigor 20 dies després de la seva publicació al Diari Oficial de la UE. Les seves disposicions seran directament aplicables en tots els Estats membres dos anys després d’aquesta data, per tant no serà efectiu fins a l’any 2018.
També s’ha aprovat en aquesta mateixa data una Directiva sobre protecció de dades de caràcter personal tractades a efectes policials i judicials, que s’aplicarà a l’intercanvi de dades transfrontereres dins de la UE i establirà estàndards mínims per al tractament de dades a cada país.
Finalment, esmentar que una altra de les mesures adoptades pel Parlament Europeu ha estat la creació d’un registre europeu de dades dels passatgers de transport aeri (PNR), que obligarà les companyies aèries a lliurar a les autoritats nacionals les dades dels passatgers de les seves rutes a tercers països amb sortida o arribada des d’un Estat membre, però no les dels vols intracomunitaris.
Novetats del Reglament Europeu de protecció de dades:
- S’aplicarà a responsables no establerts a la UE, quan les activitats de tractament de dades personals estiguin relacionades amb l’oferta de béns o serveis a interessats que resideixin a la UE.
- El dret a l ‘ “oblit”, mitjançant la rectificació o supressió de dades personals.
- La necessitat de “consentiment clar i afirmatiu” de la persona a la que afecta el tractament de les seves dades personals.
- La “portabilitat”, o el dret a traslladar les dades a un altre proveïdor de serveis.
- El dret a ser informat si les dades personals han estat piratejats.
- Llenguatge clar i comprensible sobre les clàusules de privacitat.
- S’exigeixen noves obligacions als responsables: “Privadesa per disseny” (impacte en la privacitat de qualsevol nou sistema, procés o servei des de l’inici del seu desenvolupament)”Privadesa per defecte” (només s’han de recopilar i gestionar les dades que siguin estrictament necessàries), “anàlisi de l’impacte de la privacitat” (anàlisi de riscos amb què s’intenta identificar tots els possibles riscos per a la privacitat que pot implicar el nou procés i als quals caldrà posar remei).
- Les entitats que tractin dades personals a gran escala o que processin dades personals sensibles han de designar un DPO (Data Protection Officer).
- Serà obligatori notificar als reguladors incidents de seguretat en el termini de 72 hores des que tinguin coneixement dels mateixos i, en determinades circumstàncies als titulars de les dades.
- Multes de fins al 4% de la facturació global de les empreses en cas d’infracció.