I. Introducción
El 25 de mayo de 2016, entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, “Reglamento europeo de Protección de Datos”), que será de obligatorio cumplimiento a partir del 25 de mayo de 2018
II. Ámbito de aplicación
El Reglamento europeo de Protección de Datos viene a derogar la Directiva 95/46/CE, transpuesta a la legislación española mediante la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y resulta directamente aplicable en España.
Al respecto, recordemos que los Reglamentos europeos son obligatorios en todos sus elementos y directamente aplicables en todos los países de la Unión Europea (UE), pudiendo ser invocados por los particulares directamente ante los tribunales nacionales, a diferencia de las Directivas, que establecen una obligación de resultado para los países de la UE pero les deja libertad con respecto a los medios para alcanzarlos, debiendo ser transpuestas a la legislación nacional antes de que pueda recurrirse a ellas.
III. Objetivos del Reglamento
Tal y como se expone en los Considerandos del Reglamento europeo de Protección de Datos, se ha optado por un Reglamento para homogeneizar la protección de las personas físicas, proporcionar seguridad jurídica y transparencia a los operadores económicos.
A modo de ejemplo, el Reglamento afirma que el consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.
Por otra parte, el Reglamento introduce nuevas herramientas que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros, como son el derecho al olvido y el derecho a la portabilidad de sus datos.
IV. Nuevas guías y directrices de la AEPD
La Agencia Española de Protección de Datos (AEPD) ha presentado nuevos materiales para ayudar a las pequeñas y medianas empresas (pymes) a cumplir con el Reglamento europeo de Protección de Datos, que incluyen una “Guía del Reglamento para responsables”, “Directrices para elaborar contratos entre responsables y encargados”, y una “Guía para el cumplimiento del deber de informar”.
V. Conclusión
Aunque el Reglamento no será aplicable hasta 25 de mayo de 2018, conviene comenzar a implementar las medidas previstas en el mismo.
Carla Villavicencio Goula
Vilá Abogados
Para más información, contacte con:
24 de marzo de 2017