Audea, nuestro Asesor y Consultor de Sistemas de Gestión de la Información y Protección de Datos, informa que en las últimas horas se ha publicado en diversos medios la aprobación del Reglamento General de Protección de Datos.
Podéis ampliar información en:
La aprobación de un Reglamento Europeo es un proceso muy complejo y se lleva a cabo a través de diversas fases. De hecho, este es la 3ª o 4ª vez que los medios alertan de su aprobación definitiva.
En concreto, lo aprobado ayer fue la "Resolución legislativa del Parlamento Europeo respecto de la Posición del Consejo en primera lectura con vistas a la adopción del Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)"
Por lo tanto, aún faltan algunos pasos para su aprobación definitiva, aunque no deberían tardar mucho en producirse.
Cuando se apruebe de forma definitiva, entrará en vigor a los 20 días de su publicación, pero no será exigible hasta pasados 2 años, durante los cuales las empresas tendrán que adaptarse a las nuevas obligaciones.
Todavía no tenemos el texto definitivo, pero os recordamos los principales cambios que se esperan con esta nueva norma:
- Aplicación de la normativa Europea a operadores de otros países que traten datos de ciudadanos europeos en determinadas condiciones.
- Actualización de los procesos de obtención del consentimiento (es posible que se pida siempre un consentimiento expreso).
- Obligación de realizar una Evaluación de Impacto en el caso de tratamientos de datos que puedan ser relativamente sensibles (p.e. para proyectos de Big Data u otras tecnologías novedosas que pudiesen suponer riesgos específicos para la intimidad de las personas).
- Desaparición de la obligación de declarar ficheros en las autoridades de protección de datos (aunque determinadas bases de datos tendrán que ser inventariadas de forma más detallada que hasta ahora).
- Endurecimiento de las sanciones (pudiendo imponerse sanciones de hasta un determinado porcentaje de la facturación de una corporación a nivel mundial)
- Obligación de comunicar las brechas o incidentes de seguridad tanto a los afectados como a la AEPD (actualmente sólo es obligatorio para los operadores de telecomunicaciones).
- Mayor profundidad en los derechos de los ciudadanos, pudiendo llegar a ejercer el derecho de Portabilidad (llevarse los datos en un formato estándar de un servicio a otro).
- Para determinadas empresas y organismos públicos, la designación de un Data Protection Officer.
- Aplicación de la privacidad por defecto (por ejemplo, evitar tratar datos personales directamente identificativos cuando sea suficiente con un código).
- Mayor promoción de la adopción de estándares, códigos tipos y certificaciones de privacidad (pudiendo resultar de ayuda para rebajar el importe de las sanciones).
En cuanto sea publicado de forma definitiva, os seguiremos informando.