Cuenta atrás para la adaptación al nuevo marco europeo sobre protección de datos personales

El Reglamento General de Protección de Datos (RGPD) -Reglamento (UE) 2016/679– es el nuevo marco normativo adoptado por la Unión Europea en materia de protección de datos personales. Aunque fue publicado en Mayo de 2016, no será plenamente aplicable hasta Mayo de 2018. A partir de ese momento quedarán derogadas tanto la actual Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal como el Real Decreto 1720/2007 que la desarrolla.

Tanto la Ley Orgánica 15/1999 como el Real Decreto 1720/2007 contienen muchas previsiones similares a las que establece el RGPD. Las empresas que en la actualidad cumplan con tales previsiones tienen ya una buena base de partida para cumplir con el RGPD. Aun así, el RGPD incorpora diversas novedades a las que las empresas deberán en todo caso adaptarse. La AEPD ha publicado recientemente diversas guías y directrices para ayudar a las empresas en dicha labor de adaptación.

Consentimiento informado

Con el RGPD para tratar datos personales será siempre preciso contar con el consentimiento inequívoco del interesado. Dicho consentimiento deberá haberse prestado mediante una manifestación o una clara acción afirmativa de dicho interesado. Ya no se admitirán, como hasta ahora, formas de consentimiento tácito o por omisión. Aquellos tratamientos iniciados con anterioridad a la aplicación del RGPD seguirán siendo válidos sólo en la medida en que hayan sido consentidos de forma explícita. Asimismo, entre otras novedades, el RGPD también exige un mayor nivel de información a facilitar a los interesados, sobre todo en lo relativo a la base jurídica que habilite para el tratamiento de sus datos personales, así como en el alcance de los derechos conferidos a dichos interesados. Ello implicará la revisión, no sólo de los consentimientos informados habitualmente empleados, sino también las cláusulas que a este respecto se incluyen en los contratos y las políticas de privacidad.

Responsables / encargados del tratamiento

Al igual que hasta ahora, las relaciones entre el responsable y el encargado del tratamiento deberán formalizarse en un contrato, si bien ahora el RGPD regula de forma más minuciosa su contenido mínimo. El responsable tendrá, además, que adoptar medidas apropiadas para garantizar que dicho encargado podrá llevar a cabo el tratamiento de acuerdo con el RGPD.

Es recomendable, pues, que aquellas empresas que traten datos personales no esperen hasta Mayo de 2018 y se adapten al RGPD lo antes posible. Dicho proceso de adaptación sin duda requerirá tomar decisiones y adoptar medidas que precisan de un plazo prudencial para su puesta en práctica. Especial cuidado se requerirá sobre todo en aquellos casos en que se manejen datos sensibles, como por ejemplo los datos relativos a la salud de las personas.