Después de más de cuatro años de trabajos, el pleno del Parlamento Europeo aprobó el 14 de abril de 2016, el Reglamento general de protección de datos, cuyo objetivo es un único marco normativo para todos los estados de la UE, adaptado al entorno digital, y que reemplaza a la obsoleta Directiva, ratificada en 1995.
El Reglamento entrará en vigor 20 días después de su publicación en el Diario Oficial de la UE. Sus disposiciones serán directamente aplicables en todos los Estados miembros dos años después de esta fecha, por tanto no será efectivo hasta el año 2018.
También se ha aprobado en esta misma fecha una Directiva sobre protección de datos de carácter personal tratados a efectos policiales y judiciales, que se aplicará al intercambio de datos transfronterizos dentro de la UE y establecerá estándares mínimos para el tratamiento de datos en cada país.
Por último, mencionar que otra de las medidas adoptadas por el Parlamento Europeo ha sido la creación de un registro europeo de datos de los pasajeros de transporte aéreo (PNR), que obligará a las compañías aéreas a entregar a las autoridades nacionales los datos de los pasajeros de sus rutas a terceros países con salida o llegada desde un Estado miembro, pero no las de los vuelos intracomunitarios.
Novedades del Reglamento Europeo de protección de datos:
- Se aplicará a responsables no establecidos en la UE, cuando las actividades de tratamiento de datos personales estén relacionadas con la oferta de bienes o servicios a interesados que residan en la UE.
- El derecho al “olvido”, mediante la rectificación o supresión de datos personales.
- La necesidad de “consentimiento claro y afirmativo” de la persona a la que concierne el tratamiento de sus datos personales.
- La “portabilidad”, o el derecho a trasladar los datos a otro proveedor de servicios.
- El derecho a ser informado si los datos personales han sido pirateados.
- Lenguaje claro y comprensible sobre las cláusulas de privacidad.
- Se exigen nuevas obligaciones a los responsables: “Privacidad por diseño” (impacto en la privacidad de cualquier nuevo sistema, proceso o servicio desde el inicio de su desarrollo) “Privacidad por defecto” (sólo se deben recopilar y gestionar aquellos datos que sean estrictamente necesarios), “Análisis del impacto de la privacidad” (análisis de riesgos con el que se intenta identificar todos los posibles riesgos para la privacidad que puede implicar el nuevo proceso y a los que habrá que poner remedio).
- Las entidades que traten datos personales a gran escala o que procesen datos personales sensibles deberán designar un DPO (Data Protection Officer).
- Será obligatorio notificar a los reguladores fallos de seguridad en el plazo de 72 horas desde que tengan conocimiento de los mismos y, en determinadas circunstancias a los titulares de los datos.
- Multas de hasta el 4% de la facturación global de las empresas en caso de infracción.
