Ha sido necesario un largo proceso legislativo pero finalmente el pasado 14 de abril el Parlamento Europeo votó a favor de reemplazar la actual Directiva Europea de Protección de Datos por la Regulación General de Protección de Datos. Todo un hito para la legislación en materia de protección de datos.
El principal objetivo de esta actualización de la ley es devolver a los ciudadanos un mayor control sobre sus datos y el uso que se hace de ellos y para ello se ha dotado a los organismos reguladores de mayores poderes disuasorios en forma de multas que podrían llegar a varios millones de euros según el caso.
Otro de los grandes objetivos es dotar de un marco regulatorio claro, uniforme y a largo plazo a la revolución digital dentro de la Unión Europea y también para los flujos de datos fuera de ella. De este modo las empresas podrán acometer sus actividades online con la certeza de que están cumpliendo con una ley que no cambiará a corto o medio plazo.
La nueva Regulación General de Protección de Datos constituye el mayor cambio a la regulación de protección de datos dentro de la UE en los últimos 20 años y es considerablemente más exhaustiva y disuasoria que la directiva que sustituye. A continuación recogemos algunos de los cambios más significativos:
Ámbito extraterritorial
La Regulación General de Protección de Datos se aplica «independientemente de que el procesado de datos tenga lugar en la Unión Europea o no». Este efecto extraterritorial se activa en cuanto una empresa de fuera de la UE:
- ofrezca bienes o servicios a individuos en la UE aunque no se realice un pago por ellos.
- monitorice el comportamiento (de ciudadanos europeos) de ciudadanos dentro del territorio de la UE.
Aquellas organizaciones que no tengan sede en la UE y que consideren que actúan fuera de la jurisdicción de la UE deberán a partir de ahora determinar si su actual modelo de negocio choca con la nueva ley.
Agencias de Protección de Datos, investigaciones y sanciones
Las organizaciones con base en la Unión Europea tendrán una «autoridad de supervisión principal» que será la autoridad de protección de datos de la jurisdicción en la que la organización tenga su sede principal o única. La relación entre esta agencia principal y el resto es uno de los aspectos que probablemente presentará más problemas en la aplicación práctica de la nueva regulación. La directiva plantea una serie de reglas de cooperación que se activarán cuando se dé una denuncia por parte de un ciudadano en un territorio distinto al de la sede principal.
La nueva regulación proporciona una gran capacidad de acción a las agencias de supervisión nacionales que tendrán la autoridad de entrar en las oficinas de una empresa y acceder a sus datos.
Las sanciones por no cumplir con la nueva regulación son muy superiores a las que había bajo la anterior Directiva, con un tope máximo de o bien 20 millones de euros o el 4% de la facturación mundial del año anterior (la cifra que sea mayor).
Consentimiento informado
Los requisitos para obtener el consentimiento de uso de datos por parte de un individuo se han visto aumentados. La nueva regulación exige que el consentimiento debe ser «voluntario e informado» y proporcionado mediante una «declaración o un acto de afirmación claro». También se detalla que cuando se recaban datos con distintos propósitos, éstos deben ser declarados en su totalidad. Los responsables de los datos deben poder demostrar el consentimiento que se les ha dado. Las organizaciones tendrán por tanto que revisar sus actuales procedimientos de recogida de datos para determinar si se adecúan a la nueva regulación.
Estas son algunas de las principales novedades de las numerosas que presenta la nueva Regulación General de Protección de Datos. A medida que la aplicación vaya revelando nuevos desafíos en la aplicación surgirán nuevos aspectos de los que les mantendremos informados en este blog.
Protección de datos personales – UE
http://ec.europa.eu/justice/data-protection/index_es.htm
