El pasado 25 de mayo entró en vigor el nuevo Reglamento general de protección de datos de la Unión Europea, el conocido como GDPR, acrónimo de sus siglas en inglés (General Data Protection Regulation), documento de gran importancia llamado a modificar el marco jurídico aplicable en este ámbito en el seno de la Unión.

Uno de sus características principales es la relativa a su rango y alcance. Hasta la fecha la protección de datos en la Unión Europea se regía por la Directiva 95/46/CE la cual ahora se sustituye por medio de un reglamento. Esta diferencia pudiera parecer poco significativa pero señala de forma clara su dominio de aplicación.

En la Unión Europea las directivas no son legalmente vinculantes, pues se consideran como recomendaciones que cada Estado miembro puede interpretar, sin obligación de aplicarlas; sin embargo un reglamento es similar a una ley, cuyas normas son de obligado cumplimiento.

Esto significa que el GDPR, aprobado en abril por el Parlamento europeo, constituye un marco jurídico unificado que será directamente aplicable en el conjunto de los 28 Estados miembro a partir del 25 de mayo de 2018, fecha fijada para su ejecución, sin necesidad de transposiciones, de forma que los tratamientos que existan entonces deberán ser conformes con lo dispuesto en el Reglamento.

En el caso de España, por ejemplo, este reglamento será jerarquicamente superior a la Ley de Protección de datos (LOPD; Ley Orgánica 15/1999) por lo que las empresas españolas deberán en primer lugar ser conformes con el GDPR manteniendo la aplicación de la LOPD en aquellos casos que no se encuentren regulados por aquel.

De igual forma el GDPR introduce importantes cambios en cuanto a su alcance territorial pues su aplicación se extiende a:

  • El tratamiento de datos personales por entidades u organizaciones con presencia física en al menos algún país miembro de la UE aunque no se lleve a cabo en la Unión..
  • El tratamiento de datos personales por entidades u organizaciones que procesen o almacenen datos sobre individuos que residen en la UE aunque dichas entidades no estén establecidas en el Unión, siempre que se deriven de la oferta de bienes o servicios a ciudadanos de la UE o como consecuencia de un control y seguimiento de su comportamiento, en la medida en que este tenga lugar en la Unión.
  • Organizaciones no establecidas en la Unión Europea sino en un lugar en el que el derecho de los Estados miembro sea de aplicación en virtud del Derecho internacional público.

El reglamento se promulga con el objetivo de armonizar y homogeneizar la fragmentada normativa existente respecto a la forma de proteger la privacidad de los datos personales de los ciudadanos de los 28 Estados miembro de la UE y modernizar sus principios para adaptarlos a una situación muy diferente a la que existía en 1995 cuando se publicó la mencionada directiva.

Esta protección, que debe asegurar la potestad individual de controlar el uso que se hace de los propios datos, abarca no solamente a estos sino también a la forma en que se procesan, almacenan y también como se destruyen cuando dejen de ser necesarios a los fines para los que se crearon.

Lógicamente sus principios respecto a la privacidad de los datos continúan siendo los mismos que en la Directiva 95/46 pero, ante la necesidad de adaptarse a las nuevas condiciones y hábitos en el uso y la gestión de datos, como por ejemplo la Nube, Big Data, las redes sociales o Internet de las cosas (IoT), el GDPR introduce cambios muy significativos con relación a ella.

Tales cambios se basan en tres elementos principales: proteger los datos de las personas, estableciendo un conjunto de derechos de sus propietarios, implicar y comprometer a los responsables del tratamiento de dichos datos y proporcionar credibilidad a lo dispuesto en el reglamento mediante una cooperación reforzada entra las autoridades de las diferentes naciones que puede dar lugar incluso a la adopción de decisiones y sanciones comunes.

Otro elemento diferenciador del Reglamento es su orientación hacia la prevención por parte de las organizaciones que tratan datos, lo cual se asegura por medio de unos principios, derechos y garantías, que constituyen la calificada como responsabilidad activa. Este enfoque cambia el anterior, basado en la actuación posterior a la infracción, al considerar que haciéndolo así se pueden evitar o disminuir los efectos de daños que afectan directamente a los propietarios de los datos.

El Reglamento contempla un periodo de adaptación de dos años, hasta el 25 de mayo de 2018, con objeto de permitir que los Estados miembro, así como las diferentes instituciones de la Unión y las organizaciones que tratan datos, puedan ir ajustando su normativa antes de la aplicación formal del Reglamento.

Dada la complejidad del Reglamento este período puede resultar corto, por lo que es conveniente que las diferentes entidades implicadas vayan adaptándose al GDPR, evitando prisas de última hora o incluso posibles sanciones pues la normativa es muy estricta incluyendo fuertes multas por incumplimiento de lo dispuesto en ella.

En este sentido, las organizaciones y empresas afectadas deberían comenzar a implantar alguna de las medidas previstas, sin olvidar que las diferentes legislaciones nacionales, como la mencionada LOPD, permanecerán aplicables hasta mayo de 2018.

En principio es recomendable que comiencen por analizar su situación respecto al cumplimiento del reglamento, como por ejemplo identificando con precisión la situación geográfica de sus servidores si están en la Nube, designar, cuando sea obligado, un Delegado de protección de datos (Data Protection Officer; DPO), interno o externo, que informe, asesore y vigile la implantación correcta del reglamento, y diseñar e implantar un plan de acción que asegure la conformidad con el GDPR cuando este sea de obligado cumplimiento.

¿Serán suficientes estos dos años?