Las 11 principales novedades del nuevo reglamento de protección de datos

Para todos los profesionales que en algún momento han realizado una promoción en la que se han tenido que gestionar los datos de sus consumidores, no es nada nuevo hablar de la protección de datos. Lo que sí que es nuevo son los cambios que aportará el nuevo reglamento europeo presentado este año.

Hasta ahora hemos estado trabajando bajo la directiva 95/46 de 1995, pero desde el 14 de abril de este año se ha aprobado el nuevo reglamento europeo, en gran medida debido a la obsolescencia a nivel digital y tecnológico de la directiva anterior y para garantizar la libre circulación de datos dentro de la unión. Esto implica que dejamos atrás una serie de normas a seguir para sumergirnos en la obligación de cumplir con una serie de requisitos si queremos estar dentro de la ley.


A continuación te resumimos las 11 principales novedades del nuevo reglamento:

1. Implantación desde el diseño y por defecto de las medidas y procedimientos para garantizar su conformidad con la normativa y garantizar los derechos y libertades de las personas cuyos datos serán tratados

2. Evaluación del Impacto consistente en realizar una evaluación de cuál es el efecto en la privacidad del individuo de ciertos desarrollos tecnológicos, antes del tratamiento, cuando éste entrañe riesgo, describiendo las operaciones previstas, los fines del mismo y evaluando la necesidad así como la proporcionalidad de las operaciones con respecto a su finalidad.

3. Pasaremos del concepto del “Fichero” registrado en la AEPD al “Tratamiento”. Las empresas gestoras de los datos ya no necesitarán registrar los ficheros de datos en la AEPD pero deberán tener un listado o registro de todos los tratamientos (datos de contacto del responsable, representante, etc..), fines del tratamiento, descripción de las categorías de interesados, categorías de destinatarios, transferencias internacionales, plazos previstos de supresión así como la descripción general de las medidas técnicas y organizativas de seguridad.

4. Responsabilidad proactiva. Las empresas deberán adoptar con mayor responsabilidad activa las medidas para poder dar garantía del cumplimiento del reglamento. Es decir, los responsables tendrán que aportar las pruebas del correcto cumplimiento de la ley.

5. Licitud del consentimiento. El consentimiento queda como un acto afirmativo, claro, sencillo, específico e inequívoco. El consentimiento tácito del estilo “si participas, se da por sentado que aceptas todas las condiciones“ ya no será aceptable.

6. Aparece la figura del DPO (Delegado de Protección de Datos) para el sector público y actividades de Big Data, así como categorías especiales de datos, con información de condenas e infracciones penales.

7. Seudonimización y cifrado de los datos personales, consistente en el tratamiento de los mismos de forma confidencial para que no puedan atribuirse a una persona física identificada o identificable.

8. Además de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) que ya teníamos anteriormente, el reglamento incorpora dos nuevos:

Derecho al olvido: el interesado podrá mediante la rectificación o supresión de datos personales, eliminar toda la información referente a su persona.

Derecho a la portabilidad de datos: el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento a otro.

9. También aparecen dos nuevos conceptos relacionados con la fisiología de las personas físicas:

Datos genéticos  (datos que proporcionen información sobre la fisiología o la salud de personas obtenidos por análisis de muestras biológicas)

Datos biométricos (datos que permiten la identificación única de personas, como imágenes faciales o datos dactiloscópicos).

10. En el caso de que los datos hayan quedado expuestos se deberá notificar la violación de seguridad en 72 horas al órgano de control, en el caso de España la AEPD, o si es de alto riesgo para los derechos y libertades de las personas físicas, al propio interesado.

11. Multas de hasta 20 millones de euros o el 4% de la facturación de la empresa (optándose por la mayor cuantía)

Aunque se trata de una norma común para toda la Unión Europea cada país deberá modificar sus leyes y adaptarla a los casos concretos de cada región ya que muchos artículos permiten ser regulados por los estados miembros siempre que no interfieran con las generalidades.

Afortunadamente España ya cuenta con un Real Decreto del 21 de diciembre de 2007 que regula las disposiciones que exige el nuevo reglamento, por lo que nuestra proceso de adaptación no será tan pronunciado como para otros países. Nosotros ya hace tiempo que incorporamos muchas de estas directrices al realizar nuestas campañas y es uno de nuestros 16 pasos para implementar una promoción de cashback.  

El nuevo reglamento europeo de protección de datos entrará obligatoriamente en vigor a partir del 25 de mayo de 2018. Por lo que tenemos alrededor de un año y medio para adaptarnos a la nueva normativa así como para conocer los detalles de las leyes concretas para nuestro país.