El 25 de mayo de 2018 ya está ahí.
Es la fecha en que será plenamente aplicable el RGPD, siglas con las que ya se conoce al Reglamento 2016/679, del Parlamento europeo y del Consejo, de 27 de abril de 2016, General de Protección de Datos de carácter personal, que entró en vigor hace dos años, pero que será aplicable con plena eficacia a partir del 25 de mayo, momento a partir del cual las multas por infracción de este derecho fundamental de la persona pasan de 600.000 euros (seiscientos mil euros) a 20 millones (veinte millones) de euros, salvo que resulte mayor, en el caso de empresas, el 4 % del “volumen de negocio total anual global del ejercicio financiero anterior”, en cuyo caso se aplicará esta última cantidad.
Es verdad que la normativa española debe de adecuarse a lo establecido en el RGPD, ya que en esa fecha, 25 de mayo, se derogará la Directiva 1995/46/CE, que es la que sirve de sustento a la vigente Ley Orgánica de Protección de Datos. Pero también es verdad que, al tratarse de un Reglamento de la Unión Europea, resulta directamente aplicable a nuestro Derecho desde la fecha de su entrada en vigor (25 de mayo de 2016) sin que sea necesario ninguna norma que lo incorpore a nuestro derecho interno.
Qué podemos saber seguro a fecha de hoy (15 de mayo de 2018):
—Que el Proyecto de Ley de la futura Ley Orgánica de Protección de Datos que se está tramitando en las Cortes generales no va a estar aprobado antes del 25 de mayo. Se prevé que pueda estarlo para finales de junio o julio de 2018.
—Que todo el sistema de legalización de ficheros de la vigente LOPD ya no es aplicable. Además, como no tendremos a 25 de mayo nueva LOPD, no se podrá saber si sigue siendo válida la legalización de ficheros por tener inscrito los ficheros en la AEPD (Agencia Española de Protección de Datos) o, para el caso de sector público, haberlos publicados en boletín o diario oficial correspondiente.
—Por tanto, la única seguridad jurídica para evitar cualquier tipo de sanción es tener legalizado los ficheros conforme al RGPD.
—Que además, a fecha 25 de mayo del 2018, todo el sector público, así como es sector privado que tenga o utilice datos sensibles (salud, ideología…) o un elevado número de datos personales, deben tener nombrado un Delegado de Protección de Datos y tienen que comunicar su nombramiento a la AEPD antes del 25 de mayo.
—Que los derechos ARCO (Acceso, Rectificación Cancelación y Oposición) amplían su contenido, como ocurre con el de cancelación y supresión que ahora incluye el nuevo “derecho al olvido”. O, incluso, aparecen nuevos derechos, como el derecho a la portabilidad de los datos personales, derecho a la limitación del tratamiento o el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, junto con la prohibición de elaborar perfiles de una persona sin su conocimiento.
—Por tanto, a partir del 25 de mayo todos los sitios web y todos los documentos deberán hacer referencia al RGPD y garantizar el ejercicio los nuevos derechos.
—Además, las medidas de seguridad son específicas para cada fichero y las brechas de seguridad se deben de notificar a los afectados y a la AEPD.
—Por último, al haber cambiado es sistema de obtención del consentimiento, aquellos que hayan obtenido dicho consentimiento de forma tácita o mediante un sistema de pre-marcado de casillas no estarán legitimados para continuar con el tratamiento y utilización de los datos y podrán ser sancionados por ello. De ahí que se esté requiriendo a muchos usuarios para que presten un consentimiento válido.
Por ello, está crecido la necesidad de recibir formación especializada para muchas personas que han sido designadas “delegados de protección de datos” o que van a ser los nuevos encargados de velar por el cumplimiento del RGPD, asumiendo la función de legalización e implementación de las nuevas medidas de seguridad de los distintos ficheros de datos personales, a la vez que el ciudadano también quiere estar informado de cómo se va a proteger a partir de ahora unos de sus derechos fundamentales más básicos y valiosos, y de ahí la finalidad de este artículo.
A modo de resumen o conclusión podemos señalar que las principales novedades del RGPD son las siguientes:
—Que será plenamente exigible a partir del 25 de mayo de 2018.
—Que las sanciones de hasta 20 millones de euros o el 4 % del “volumen de negocio total anual global del ejercicio financiero anterior”.
—Que todo el sector público y parte del sector privado (los que utilicen datos especialmente protegidos, como los de salud, o manejen un elevado número de datos) tienen que nombrar un delegado de protección de datos y comunicárselo a la AEPD.
—Que la futura LOPD puede ampliar el número de sujetos obligados tener designado un Delegado de Protección de Datos.
—Que se tiene que comunicar a la AEPD y a los afectados las "brechas de seguridad" de las que se tenga constancia.
—Que no valen ni se pueden utilizar lícitamente todos los datos que se hayan obtenido de forma tácita, sin información o por el sistema de marcado previo de casillas, siendo necesario un consentimiento implícito o expreso.
—Se tiene que garantizar los nuevos derechos: potabilidad, derecho al olvido, limitación al tratamiento y prohibición de la elaboración de perfiles automatizados de la persona sin su conocimiento.