​​​​​

Para dar un marco jurídico más sólido, el pasado 4 de mayo se ha publicado el Reglamento general de protección de datos, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que unifica la normativa europea sobre este tema, adaptándola al nuevo entorno de internet, generando confianza que permita a la economía digital desarrollarse en todo el mercado interior y reformando el control que las personas físicas deben tener de sus propios datos personales. Será aplicable a partir de 25 de mayo de 2018.

Este nuevo Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no. En los casos en que el Reglamento establece que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros, estos, en la medida en que sea necesario por razones de coherencia, pueden incorporar a su Derecho nacional elementos del mismo.

No se aplica a cuestiones de protección de los derechos y las libertades fundamentales o la libre circulación de datos personales relacionadas con actividades excluidas del ámbito de del Derecho de la Unión, como las actividades relativas a la seguridad nacional. Tampoco se aplica al tratamiento de datos de carácter personal en el ejercicio de las actividades relacionadas con la política exterior y de seguridad común de la Unión ni al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y sin conexión alguna con una actividad profesional o comercial.

Respecto a la legislación anterior, las principales novedades de este reglamento son las siguientes:

Datos de menores.- Modificación de la edad límite de los menores para prestar su consentimiento, fijándolo en 16 años, aunque los Estados podrán determinar la edad siempre que no sea inferior a 13 años. Además se establece que el responsable del tratamiento hará esfuerzos razonables para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño.

Derechos del interesado.- A los ya existentes, como acceso y rectificación entre otros, se añade una mejor regulación del derecho al olvido (supresión), el derecho de oponerse incluso al uso de datos personales a efectos de establecimiento de perfiles y el derecho a la portabilidad de los datos de un prestador de servicios a otro.

Responsable y encargado del tratamiento.– Se especifican las obligaciones generales del responsable y de quienes tratan los datos personales en su nombre (encargados del tratamiento), entre las que se encuentra aplicar medidas de seguridad adecuadas en función del riesgo derivado de las operaciones de tratamiento de datos que realicen. También contempla nuevas notificaciones a la autoridad de control sobre brechas de seguridad y la autorización previa para determinados tipos de tratamiento.

Creación de la figura del Delegado de Protección de Datos.- Este Delegado, obligatorio para empresas públicas y privadas en algunos casos, informará y asesorará al responsable y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben y de otras disposiciones de protección de datos de la Unión o de los Estados miembros. Además, supervisará el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales.

Transferencias a terceros países.- Se procederá la evaluación del nivel de protección que ofrece un territorio o un sector de tratamiento en un tercer país. Cuando la Comisión no haya adoptado una decisión de adecuación sobre un territorio o sector, la transferencia de datos personales se puede seguir realizando en casos especiales o cuando existan garantías apropiadas.

Autoridades de control independientes.– Su principal función es supervisar la aplicación del Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.

Cooperación y coherencia– Establece el concepto "Ventanilla Única" (One-stop-shop), para que los ciudadanos interesados puedan efectuar trámites, aunque estos afecten a autoridades en la materia de otros estados miembros. Así, una empresa con filiales en varios Estados miembros solo tendrá que tratar con la autoridad de protección de datos del Estado miembro de su establecimiento principal.

Seguimiento.– Se reconoce el derecho de los interesados a presentar una reclamación a la autoridad de control, así como su derecho al recurso judicial, la compensación y la responsabilidad. Para garantizar la proximidad de los particulares en relación con las decisiones que les afecten, los interesados tendrán derecho a que uno de sus órganos jurisdiccionales nacionales revise la decisión de su autoridad de protección de datos. Esto será independiente del Estado miembro en que esté establecido el responsable del tratamiento de que se trate.

Indemnización.– Se tendrá derecho a ello por los daños y perjuicios causados en caso de que una operación de tratamiento no cumpla lo dispuesto por el presente Reglamento.

Sanciones.– Aumento de las mismas contra los responsables o encargados del tratamiento que infrinjan las normas de protección de datos, que podrán ser multados con hasta 20 millones de euros o el 4 % de su volumen de negocios total anual.

Fuente:

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE EDL 2016/48900​​​