El próximo 25 de mayo de 2018 entrará en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (General de Protección de Datos).
Dicho Reglamento es de aplicación directa a la normativa española, es decir, que el legislador español debe adecuar su normativa de protección de datos, la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD, a dicho Reglamento.
En estos dos años que han pasado desde su entrada en vigor, la Agencia Española de Protección de Datos, ha estado trabajando para facilitar a las empresas y administraciones públicas su adaptación al Reglamento y fruto de este trabajo, han sido las múltiples guías publicadas en su web.
Adaptación al Reglamento por parte de empresas y organizaciones
Por su parte el legislador español ha presentado recientemente en el Congreso de los Diputados el proyecto de Ley Orgánica de Protección de Datos, para su adaptación al marco normativo de la Unión.
El Reglamento Europeo de Protección de Datos refuerza los derechos de los ciudadanos sobre sus datos personales, además, cambia la forma en que las organizaciones gestionan la protección de datos, debiendo adoptar medidas conscientes, diligentes y proactivas (accountability).
Como he comentado al principio, la normativa europea será aplicable a partir del próximo 25 de mayo y otorga a los ciudadanos una mayor protección en el uso de sus datos personales incluso ante las empresas que hacen uso de estos datos personales y que están ubicadas fuera de la Unión Europea.
- El derecho a la portabilidad, el derecho a la supresión de la información personal o el de limitar el tratamiento que se hace de los datos complementan a los tradicionales derechos ARCO.
Uno de los nuevos derechos, es el derecho a la portabilidad, por el que una persona que haya proporcionado sus datos a un proveedor de servicios podrá solicitar la recuperación y traslado de esos datos a otra plataforma cuando sea técnicamente posible.
También hay que mencionar, el llamado derecho de supresión, que sustituye y amplía el actual derecho de cancelación.
El derecho a la limitación en el tratamientode los datos personales, o que cuando se deba pedir consentimiento al ciudadano para tratar sus datos éste deba darlo de forma inequívoca, excluyendo el consentimiento tácito. Además se amplía la información que hay que ofrecer al ciudadano indicando, entre otros puntos, quién recoge los datos, para qué los va a utilizar, durante cuánto tiempo, si los va a ceder a terceros o si se van a tomar decisiones automatizadas o a elaborar perfiles, así como sus consecuencias.
Hoy en día, la tecnología juega un papel protagonista y este Reglamento otorga a los ciudadanos una mayor protección ante empresas ubicadas fuera de la Unión Europea, cuando el tratamiento de los datos personales que se derive de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento. Esta novedad supone una garantía adicional a los ciudadanos europeos ya que, en la actualidad, para ofrecer servicios y tratar datos no es necesario mantener una presencia física en un territorio.
¿Cómo se ejercen esos derechos?
La Agencia Española de Protección de Datos recibe al año más de 2.500 reclamaciones de ciudadanos que acuden ante este organismo para que tutele sus derechos frente a empresas u organizaciones.
Para que la Agencia pueda tramitar esta reclamación es necesario que el ciudadano se haya dirigido previamente a la entidad que está tratando sus datos. Si la entidad no responde a la petición realizada o el ciudadano considera que la respuesta que recibe no es la adecuada, puede acudir a la Agencia para que tutele su derecho frente a la entidad.