El Reglamento de Protección de Datos comenzó a regir el
viernes 25 de mayo en Europa, estableciendo mayor control para los ciudadanos e
importantes sanciones para las entidades que no garanticen la seguridad
establecida.
El viernes 25 de mayo de 2018, entró en
vigencia el nuevo Reglamento General de Protección de Datos Personales (en
inglés, General Data Protection Regulation o “GDPR”),
con el fin de devolverles a los ciudadanos europeos el control de sus datos
personales. De todos modos, no posee impacto únicamente en Europa, sino que
tiene implicaciones más amplias para las empresas de todo el mundo que
procesan datos en dicho continente.
GDPR no es nuevo, existe desde 2016 (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016) pero desde este viernes 25 comenzó a ser aplicada obligatoriamente. Se trata de la nueva ley única de protección de datos, la cual introduce importantes cambios en todas las leyes europeas de privacidad y sustituye la obsoleta Ley de protección de datos de 1995. Las multas por el no cumplimiento del RGPD pueden llegar a los 20 millones de euros.
GDPR no es nuevo, existe desde 2016 (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016) pero desde este viernes 25 comenzó a ser aplicada obligatoriamente. Se trata de la nueva ley única de protección de datos, la cual introduce importantes cambios en todas las leyes europeas de privacidad y sustituye la obsoleta Ley de protección de datos de 1995. Las multas por el no cumplimiento del RGPD pueden llegar a los 20 millones de euros.
En España, la actual RGPD va a
sustituir a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD)
aprobada por las Cortes Generales el 13 de diciembre de 1999.
En las últimas semanas, Google, Twitter, Facebook, Spotify, tiendas digitales, bancos, portales turísticos y muchos otros servicios, comenzaron a enviar correos electrónicos con novedades en sus términos y condiciones de servicio y políticas de privacidad.
La norma reconoce dos derechos que ya se encontraban dentro de las normativas europeas: por un lado, el “derecho al olvido", es decir, a la eliminación de datos propios en la web; por otro, el “derecho a la portabilidad de información”, esto es, la posibilidad para cada usuario de llevarse sus datos de una plataforma a otra.
Además del “derecho a ser olvidado”, la ley incluye disposiciones que potencialmente podrían aumentar los derechos de los consumidores sobre sus datos. Las leyes relativas a la libertad de expresión impedirán que “el derecho a ser olvidado” se extienda a los artículos de prensa. Más precisamente, los ciudadanos podrán solicitar que su nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web o redes sociales, información médica o una dirección IP sean eliminados cuando ya no sean necesarios, cuando se haya retirado el consentimiento y en los casos en los cuales se hayan recolectado de forma ilícita.
Esto implica, por ejemplo, que los usuarios abarcados por la GDPR deberán ser informados cuando sus datos queden expuestos en un cibercrimen. Por otro lado, también abarca el acceso a la posibilidad de corrección de los propios datos personales.
Cronología
Para establecer una cronología del
proceso para la aprobación de la GDPR, la cual se lanzó el 25 Enero de
2012, debemos contemplar:
·
21 de octubre de 2013: Comisión de
Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo
(LIBE) tenía su voto de orientación.
·
15 de diciembre de
2015: Negociaciones entre Parlamento Europeo, Consejo y Comisión
(tripartito) resultó en una propuesta conjunta.
·
17 de diciembre de 2015: La comisión
LIBE del Parlamento Europeo votó positivamente sobre el resultado de las
negociaciones entre las tres partes.
·
8 de abril de 2016: Adopción por
el Consejo de la Unión Europea. El único estado miembro que votó en contra fue
Austria, argumentando que el nivel de protección de datos en algunos aspectos
es bajo en comparación con la directiva de 1995.
·
14 de abril de 2016: Adopción por
el Parlamento Europeo.
·
El reglamento entró en vigor 20 días
después de su publicación en el Diario oficial de la Unión Europea el 4 de mayo
de 2016. Sus disposiciones serán directamente aplicables en todos los estados
miembros dos años después de esta fecha.
·
Será aplicada de forma obligatoria a
partir del 25 de mayo de 2018.
Sanciones
La nueva ley establece las siguientes
sanciones debido a su no cumplimiento:
·
Una advertencia por escrito en los
casos de incumplimiento previo e intencional,
·
Auditorías periódicas de protección de
datos,
·
Una multa de hasta 10,000,000 o hasta
el 2% del volumen de negocios mundial anual del ejercicio anterior en el caso
de una empresa, cualquiera que sea mayor, cuando haya habido una infracción de
las siguientes disposiciones (Artículo 83, Párrafo 4):
·
Las obligaciones del controlador y del
procesador de conformidad con los artículos 8, 11, 25 a 39, 42 y 43,
·
Las obligaciones del organismo de
certificación de conformidad con los artículos 42 y 43,
·
Las obligaciones del organismo de
supervisión de conformidad con el artículo 41 (4).
·
Una multa de hasta 20,000,000 o hasta
el 4% del volumen de negocios anual del año financiero anterior en el caso de
una empresa, cualquiera que sea mayor, cuando se haya infringido las siguientes
disposiciones : (Artículo 83, párrafos 5 y 6).
·
Los principios básicos para el
procesamiento, incluidas las condiciones para el consentimiento, de conformidad
con los artículos 5, 6, 7 y 9,** the data subjects' rights pursuant to Articles
12 to 22,
·
Las transferencias de datos personales a un destinatario en un tercer
país o una organización internacional de conformidad con los artículos 44 a 49,
·
Cualquier obligación conforme a la ley
de los Estados miembros adoptada en virtud del Capítulo IX,
·
El incumplimiento de una orden o una
limitación temporal o definitiva del procesamiento o la suspensión de los
flujos de datos por parte de la autoridad supervisora de conformidad con el
artículo 58 (2) o la falta de acceso en violación del artículo 58 (1)
“Es una herramienta destinada a aquellas
empresas que realizan tratamientos de datos personales que, a priori,
implicarían escaso nivel de riesgos como por ejemplo: tratamientos de datos de
contacto y facturación de los clientes o proveedores de una pequeña empresa, o
el tratamiento de los datos de sus empleados con la finalidad del mantenimiento
de una relación laboral. Se encuentra disponible gracias a la publicación de la
Agencia Española de Protección de Datos.
Es un programa de ayuda general. Los documentos resultantes serán válidos en la medida que las respuestas facilitadas a cada una de las preguntas sean ciertas y son los mínimos indispensables para facilitar el cumplimiento del Reglamento General de Protección de Datos."
Es un programa de ayuda general. Los documentos resultantes serán válidos en la medida que las respuestas facilitadas a cada una de las preguntas sean ciertas y son los mínimos indispensables para facilitar el cumplimiento del Reglamento General de Protección de Datos."
________________________________________________________________________
Para mayor información, visite: