El nuevo Reglamento Europeo de Protección de Datos – que entró en vigor en 2016 y será exigible para todos los profesionales y empresas a partir del próximo 25 de mayo – junto con la esperada reforma de la Ley Orgánica de Protección de Datos (actualmente en tramitación parlamentaria), vienen a acometer una profunda reforma de la normativa actualmente vigente, creando nuevas obligaciones y ampliando o reformulando las actualmente existentes.

Así, se amplía el deber de Información por parte de los responsables de los ficheros a los titulares de los datos y se refuerza el consentimiento para determinados tratamientos y cesiones de datos (clarificando la exigencia del consentimiento expreso en muchos de estos casos)

Se amplían los hasta ahora llamados derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), introduciendo otros como los de Limitación del tratamiento o Portabilidad de los datos, y redefiniendo algunos de los ya existentes (derecho al olvido, etc…)

En materia de seguridad, se implanta el principio de Seguridad Proactiva, que viene a sustituir los anteriores niveles de seguridad estándar por un principio general bajo el cual, la empresa tendrá que justificar que ha adoptado todas las medidas adecuadas al tipo y volumen de datos que trata, al tipo de tratamiento que hace de ellos, al estado de la técnica y al análisis de los riesgos que puedan afectar a dichos datos, a fin de prevenir la ocurrencia de alguno de los citados riesgos.

Las medidas de seguridad adoptadas, deberán garantizar la integridad, seguridad y capacidad de restauración de los datos personales y deberán ser evaluadas periódicamente para garantizar su eficacia.

Se crean nuevas figuras como el Delegado de Protección de Datos, figura independiente que deberá velar por el cumplimiento de la legislación en el seno de la empresa, y que será obligatoria en empresas de más de 250 trabajadores o en determinados supuestos de empresas de menor tamaño en función de la tipología de los datos objeto de tratamiento y del volumen de los mismos, siendo voluntaria para el resto de los caos.

Se impone igualmente a la empresa, la obligación de comunicar a la Agencia Española de Protección de Datos en un plazo no superior a 72 h, cualquier incidencia o brecha de seguridad que haya afectado a los datos objeto de tratamiento (pérdida, destrucción, robo, ataque informático, etc…), así como, en su caso, a los titulares de los datos afectados.

En definitiva, bastantes novedades que nos harán revisar de manera profunda las prácticas habituales en materia de tratamiento de datos de carácter personal en nuestras empresas.