El Parlamento Europeo ha dado el visto bueno definitivo a las nuevas reglas europeas en materia de protección de datos. La reforma pretende garantizar en toda la UE unos estándares de protección elevados y adaptados al entorno digital. El Parlamento también ha aprobado la directiva sobre registro de datos de pasajeros (PNR).
Reforma de la Protección de Datos
Las nuevas reglas sustituyen a la Directiva de 1995 y ponen fin a más de cuatro años de trabajo para reformar la normativa comunitaria y dar más control a los ciudadanos sobre el tratamiento de sus datos personales.
A pesar de que es una única norma para toda la Unión Europea, y de aplicación inmediata una vez entre en vigor, debe ser interpretada a nivel nacional, es decir, la AEPD (Agencia Española de Protección de Datos) deberá pronunciarse en algunos artículos (unos 50) en los que se deja la puerta abierta a los Estados Miembros para su regulación. Entre otras disposiciones, las novedades más significativas son:
– Evaluación de impacto relativo a la protección de datos (análisis de riesgos).
– Ventanilla única (one stop shop) para que empresas españolas con sedes en otros Estados traten con la AEPD u otras autoridades.
– Elaboración de perfiles para evaluar determinados aspectos personales de una persona física.
– Seudonimización para la disociación de los datos.
– Derecho al olvido mediante rectificació o supresión de datos personales.
– Portabilidad de datos de un proveedor de servicios a otro.
– Multas de hasta 20 millones de euros o el 4% de la facturación de la empresa.
– Licitud del consentimiento (acto afirmativo claro).
– Delegado de Protección de Datos (sector público y big data).
– Notificar violaciones de seguridad al órgano de control o al interesado (afectado).
– Tratamiento de datos genéticos y datos biométricos.
– Responsabilidad proactiva para cumplir con el Reglamento por parte de las empresas.
– Transparencia en la información (avisos legales y políticas de privacidad).
– Protección de datos desde el diseño y por defecto (privacy by design).
Respecto a la seguridad del tratamiento, somos de los pocos paises que disponemos ya de una norma (RD1720/2007) por lo que en principio, no nos supondrá tanto impacto como a otros países a la espera que lo que diga la AEPD.
También se establecen nuevas normas sobre la transmisión de datos para garantizar una cooperación policial efectiva y se aplicará al intercambio de datos transfronterizos dentro de la UE. Este apartado, en el Reino Unido e Irlanda, solo se aplicará de manera limitada.
Directiva sobre el registro de datos de pasajeros (PNR)
El Parlamento también ha aprobado la nueva directiva que regula el uso de los datos de pasajeros aéreos para la prevención, detección, investigación y enjuiciamiento de delitos terroristas y otros delitos graves. La norma obligará a las aerolíneas a entregar a las autoridades nacionales los datos de los pasajeros de todos los vuelos llegados a la UE desde terceros países y viceversa.
Los estados miembros tendrán que establecer una ‘Unidad de información sobre los pasajeros’ encargada de gestionar los datos recopilados por las compañías aéreas. Los datos se conservarán 5 años, pero pasado el periodo inicial de 6 meses se conservaran disociados.
Queda explícitamente prohibido el tratamiento de datos personales que revelen origen racial o étnico, opiniones políticas, creencias religiosas, pertenencia a un sindicato, salud y vida/orientación sexual de una persona.
Próximos pasos
El Reglamento entrará en vigor 20 días después de su publicación en el Diario oficial de la UE (previsiblemente finales de junio) y los países miembros tendran un plazo de dos años para adaptarlo a sus legislaciones nacionales.
Desde PymeLegal queremos mandarles un mensaje de tranquilidad a nuestros clientes y partners respecto a las acciones a llevar a cabo hasta que no dispongamos de los requerimientos que establece la AEPD en nuestro país. Nuestra plataforma y el servicio asociado se adaptará a todos los requisitos que se establezcan.
El equipo de PymeLegal.