Víctor Cazurro Barahona Profesor de Derecho Constitucional de la Universidad Isabel I
Mar, 20/02/2018 - 09:12

- ¿Qué novedades nos trae el nuevo Reglamento de Protección de Datos Personales? (I)

- El 25 de mayo de 2018 comienza a aplicarse el nuevo Reglamento General de Datos Personales (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos).

El Reglamento entró en vigor el 25 de mayo de 2016, pero es este año cuando tendremos el deber de cumplir con el mismo y estar en condiciones de poder acreditar que así lo hacemos. El Reglamento se aplicará a responsables o encargados de tratamiento de datos establecidos en la UE, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la UE. Pero, ¿qué cosas cambian con la nueva regulación?

Entre otras, destacamos las siguientes:

  • Desaparece la obligación de registrar los ficheros en la Agencia Española de Protección de Datos.
  • Se vela por el control y la seguridad del flujo de la información, es decir, se pone el foco en el tratamiento de la información y no en los ficheros considerados de modo “estático”.
  • Se pide una actitud proactiva al responsable y al encargado del tratamiento, no reactiva. No se espera a que haya una infracción y la correspondiente sanción, sino que se espera que haya un continuo cuidado del tratamiento de la información.
  • Se crea la figura del DPO: Delegado de Protección de Datos.
  • Se debe articular y llevar un Registro de Actividades del Tratamiento (art. 30) El artículo 30 estipula que cada responsable y, en su caso, su representante llevarán un registro de actividades de tratamiento efectuadas bajo su responsabilidad que contendrá, al menos:
    • Identificación exacta del Responsable y del DPO.
    • Fines del tratamiento.
    • Descripción de categorías de interesados y de categorías de datos personales.
    • Categorías de destinatarios a quienes se comunican los datos.
    • Plazos previstos para supresión de las diferentes categorías de datos (complejo determinar).
    • Descripción general de las medidas de seguridad (Art. 32).

Entrada publicada el 20/02/2018

Editor: Universidad Isabel I

Burgos, España

​ISSN: 2603-9087

Comentarios

Buenos días,
Gracias, Víctor, por compartir esta entrada sobre la aplicación desde el 25/05/18 del REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS, pues durante este periodo de dos años se ha tratado de permitir que los Estados de la UE, las Instituciones y también las empresas y organizaciones que tratan datos se hayan ido preparando y adaptando para su aplicación en mayo de este año.
Me parecen interesantes esos aspectos que cambian, de entre los que destaco, la creación del DPO por la función que está llamada a realizar.
Os dejo un link a la web de la Agencia Española de PD, donde nos muestra esas novedades, con especial atención a los derechos y principios:
http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php
Un fuerte abrazo,

Celebro la oportunidad en el tiempo y el interés de la temática tratada. Sea enhorabuena pues.

Advertir de la significación del 25 de mayo creo que también puede acompañarse de una realidad histórica: el nuevo Reglamento eprivacy que está en tramitación y que vendrá a completar esta normativa de protección de datos, regulando la privacidad en las comunicaciones electrónicas; como también estamos pendientes de pronunciamientos del Tribunal Europeo en cuestiones tan críticas como la extensión territorial del derecho al olvido.

A propósito de esa cuestión territorial me permito sumar al elenco de cuestiones principales la exigencia de la designación de un representante por parte de las empresas que operan en Europa y están ubicadas en terceros países.

No cierro mi comentario sin suscribir la relación acotada por el profesor experto y, desde la clave civilista, permitirme también sumar la decidida apuesta por el consentimiento informado.

A propósito de la anterior entrada, y viendo la oportuna y necesaria (pero difícil) relación entre el Reglamento RCPD y el Reglamento e-privacy, me preocupa que el régimen de sanciones pueda ser tan ambicioso que, como ha destacado el propio Piñar, con tan elevadísimos importes, se pueda caer en el sistema de daños punitivos, que ya sabemos que no es propio de nuestro Derecho.

Enhorabuena por la entrada, muy apropiada en estos momentos.

Añadir nuevo comentario