La Agencia Española de Protección de Datos (AGPD) ha publicado un documento sobre el nuevo marco normativo que ha aprobado la Unión Europea (UE) para garantizar la privacidad y proteger la información de los ciudadanos europeos.
Estos son algunos de principales puntos que destaca la Agencia Española de Protección de Datos y que recoge en su web:
1. Entrada en vigor del Reglamento
El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables. El periodo de dos años hasta su aplicación tiene como objetivo permitir que los estados de la Unión Europea, las instituciones europeas y también las organizaciones que tratan datos vayan preparándose y adaptándose.
2. Empresas afectadas
No solo las de la Unión Europea. El reglamento es aplicable a empresas que, hasta ahora,
podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea (como por ejemplo Estados Unidos).
3. Derecho al olvido
El reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.
El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.
El derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable.
4. Edad
La edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, permite rebajar esa edad y que cada estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores.
5. Consentimiento
Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es “inequívoco”, la norma requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.
6. Responsabilidad activa
Uno de los aspectos fundamentales del reglamento.
Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el reglamento establece. No sólo tienen que actuar cuando se ha producido una infracción, tiene que realizar una labor de prevención. Para ello las empresas deben de garantizar:
- Protección de datos desde el diseño.
- Protección de datos por defecto.
- Medidas de seguridad.
- Mantenimiento de un registro de tratamientos.
- Realización de evaluaciones de impacto sobre la protección de datos.
- Nombramiento de un delegado de protección de datos.
- Notificación de violaciones de la seguridad de los datos.
- Promoción de códigos de conducta y esquemas de certificación.