LOPD: Las novedades que nos esperan en 2018

En mayo de 2018 entrará en vigor el nuevo Reglamento Europeo de Protección de Datos que fue aprobado en mayo del pasado año 2016.

Hasta entonces estará en vigor la actual normativa en materia de protección de datos, si bien la Unión Europea ha concedido este margen amplio de tiempo desde la publicación del Reglamento hasta su entrada en vigor para que tanto los Estados miembros como las organizaciones y empresas a las que afecta se vayan adaptando.

En este tiempo se pueden ir implementando algunas de las medidas no contradictorias con la legislación actual, y así llegar más preparados a la fecha en la que serán obligatorias.

Una de las novedades que incorporará el Reglamento es la ampliación del ámbito territorial, ya que se aplicará también a empresas y entidades que se encuentran fuera de la Unión Europea cuando realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento. Se consigue así una mayor protección para los ciudadanos europeos, especialmente en lo que se refiere a la prestación de servicios a través de internet que se produce frecuentemente fuera del territorio de la Unión.

En cuanto a los avisos de privacidad, es conveniente que las empresas vayan revisándolos, ya que el Reglamento prevé la obligación de incluir avisos que hasta ahora no lo eran, tales como  la base legal para el tratamiento de los datos o los períodos de retención de los mismos. Además se establece que toda la información debe proporcionarse de forma fácil de entender y en un lenguaje claro y conciso.

Uno de los puntos clave del Reglamento se refiere al consentimiento. En este sentido, se prohíbe recoger más datos de los que sean realmente necesarios para prestar el servicio de que se trate. Y además se exige que exista un consentimiento libre, informado, específico e inequívoco que requiere una acción positiva del interesado, por lo que no será válido el consentimiento tácito de la misma forma en que se venía entendiendo hasta la fecha, es decir el que se entendía prestado a partir de una situación de silencio o inacción.

Por otro lado, el Reglamento recoge expresamente dos nuevos derechos de los interesados: el derecho al olvido y el derecho a la portabilidad.

Por medio del derecho al olvido los interesados podrán solicitar que se supriman sus datos personales en determinadas circunstancias, como que ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se hayan recogido de forma ilícita o cuando hayamos retirado el consentimiento.

El derecho al olvido se añade a los supuestos recogidos en la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que ya recogía el derecho del interesado a que no se indexen en las listas de resultados de los buscadores los enlaces a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

El derecho a la portabilidad supone que tenemos derecho a solicitar al responsable del tratamiento de nuestros datos que nos los envíe en un formato en el que podemos transmitirlos a otro responsable de tratamiento. Incluso en los casos en los que sea técnicamente posible el responsable deberá transferirlos directamente al nuevo responsable designado por el interesado.

Otras novedades que incorpora el Reglamento son las siguientes:

• Las personas jurídicas y los encargados de tratamiento que traten datos de carácter personal tendrán obligación de llevar un registro de las actividades de tratamiento que efectúen.
• Se establece la obligación de realizar evaluaciones de impacto antes de realizar determinados tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas, mediante una consulta previa a la Autoridad de control, que es el organismo del que cada Estado miembro deberá disponer para regular, supervisar y vigilar el tratamiento de datos de carácter personal. A modo de ejemplo, la evaluación de impacto deberá realizarse en los casos de tratamiento a gran escala de datos personales que revelen opiniones políticas o datos relativos a la salud o la orientación sexual de una persona física. 
• Las empresas deberán designar un Delegado de Protección de Datos si en ellas concurren determinadas circunstancias como que el tratamiento lo lleve a cabo una autoridad u organismo público (excepto los Tribunales en su función judicial) o que su actividad principal consista en el tratamiento a gran escala de datos de categorías especiales como los religiosos, raciales, genéticos, etc. El Delegado de Protección de datos tendrá entre sus funciones la de supervisar el cumplimiento de lo dispuesto en la normativa relativa a la protección de datos.