I.- Entrada en vigor y aplicabilidad: 
El pasado 25 de mayo de 2016 entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (publicado en el DO de la UE de 4 de mayo), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos, con el fin de garantizar un nivel uniforme, equivalente y elevado de protección de las personas físicas en todos los estados miembros, eliminando los actuales obstáculos a la circulación de dichos datos dentro de la propia UE, en la que tales garantías actualmente son insuficientes o se aplican de manera fragmentada con la consecuente inseguridad jurídica que ello provoca.
Sin embargo, no será hasta dentro de dos años, el 25 de mayo de 2018, cuando comenzará a aplicarse, de forma que hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la vigente Ley Orgánica de Protección de Datos española, siguen siendo plenamente válidas y aplicables.
II.- Principales novedades:
1º.- Aplicación también a empresas y organizaciones no establecidas en la UE:
En la actualidad, la vigente Directiva 95/46 se aplica únicamente a los responsables o encargados de tratamiento de datos establecidos en la UE, de tal forma que hay empresas no establecidas en la UE tratando datos personales, las cuales se rigen por normativas de otros países que no siempre ofrecen el mismo nivel de protección que dicha normativa europea.
El nuevo Reglamento introduce como novedad una garantía adicional a los ciudadanos europeos ya que el mismo será de aplicación, además, a aquellas empresas y organizaciones que no estén establecidas en la UE cuando realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la UE o como consecuencia de una monitorización y seguimiento de su comportamiento, las cuales estarán obligadas a nombrar un representante suyo en la UE.
2º.- El “derecho al olvido” y el “derecho a la portabilidad” como nuevas herramientas destacadas de control de los datos para los ciudadanos:
Frente a los vigentes derechos de Acceso, Rectificación, Cancelación y Oposición de los usuarios, en relación con sus datos personales que estén siendo objeto de tratamiento, el nuevo Reglamento recoge ahora en su capítulo III como Derechos del interesado, y bajo la aplicación del principio de transparencia, los derechos de información y acceso del interesado a sus datos (arts. 13 a 15), el derecho de rectificación (art. 16) y el de supresión o “derecho al olvido” (art. 17), el derecho a la limitación del tratamiento (art. 18), el de la “portabilidad” de los datos (art. 20), y el derecho de oposición (art. 21).
De ellos destacan los novedosos derechos “al olvido” y “a la portabilidad” de los datos: Siendo el primero, el derecho de los ciudadanos a solicitar que sus datos sean suprimidos en los casos indicados e incluso a solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que les afecten que sean obsoletas, incompletas, falsas o irrelevantes y que no sean de interés público, entre otras razones. Y, el segundo, el de la portabilidad, el derecho a solicitar al responsable que los esté tratando de forma automatizada, el poder recuperarlos en un formato que permita transferírselos a otro responsable que el ciudadano designe.
3º.- Edad mínima prestación consentimiento por niños en relación con internet y redes sociales:
En España, el límite de edad actual a partir del cual los menores pueden prestar su consentimiento para el tratamiento de sus datos personales en relación con la oferta dirigida a los mismos a través de servicios de la sociedad de la información (internet, redes sociales, etc.), se encuentra en los 14 años. El Reglamento lo fija en un mínimo de 16 años si bien permitirá que los estados la fijen en una edad menor, sin que en ningún caso pueda ser inferior a los 13 años.
Consentimiento que en todo caso deberá ser verificable y el aviso de privacidad estar escrito en un lenguaje que los niños puedan entender.
4º.- Medidas preventivas a adoptar por las empresas. La responsabilidad activa:
El Reglamento establece toda una serie de medidas que las empresas deberán adoptar con carácter preventivo y anticipativo para garantizar el cumplimiento de los principios, derechos y garantías recogidos en él, destacando las siguientes:
– Protección de datos desde el diseño y por defecto (art. 25), adoptando medidas de seguridad, técnicas y organizativas, apropiadas (art. 32) como la seudominización y minimización de datos, y aquellas con miras a garantizar que, por defecto, solo sean tratados los datos personales estrictamente necesarios.
– Obligación de mantener un registro de tratamientos (art. 30)
– Realización de evaluaciones previas de impacto sobre la protección de datos (art. 35) y consultas previas (art. 36)
– Designación por el responsable y el encargado del tratamiento de los datos, de un delegado de protección de datos (arts. 37 a 39)
– Notificación de violaciones de la seguridad de los datos a la autoridad de control (art. 33) y al interesado (art. 34)
– Promoción de códigos de conducta (art. 40) y mecanismos de certificación (art. 42)
5º.- Sobre la validez en la obtención del consentimiento:
Conforme a la actual normativa, se admite como consentimiento válidamente otorgado el llamado consentimiento “tácito”.
Sin embargo, con la aplicación del nuevo Reglamento dicha forma de obtención del consentimiento para el tratamiento de datos personales dejará de ser válida. Y ello por cuanto la validez de la obtención del consentimiento dependerá de que el mismo se preste de forma libre, informada, específica e inequívoca, teniendo en cuenta en este último caso que para que se considere prestado de forma inequívoca será preciso una declaración de los interesados o una acción positiva que indique el acuerdo de éstos, no pudiendo deducirse el consentimiento del silencio o de la inacción de los mismos.
Además, en algunos casos como aquellos en los que el consentimiento sea necesario para el tratamiento de datos sensibles, el consentimiento deberá ser otorgado de manera “explícita” lo cual comporta que no podrá entenderse concedido implícitamente mediante algún tipo de acción positiva sino que será necesario contar con que la acción o declaración se refieran explícitamente al consentimiento y al tratamiento concreto de que se trate.
Finalmente, y como novedad, el otorgamiento del consentimiento deberá ser verificable, de tal forma que quienes recopilen datos personales deberán poder demostrar que el interesado les otorgó su consentimiento.
6º.- Sobre la información a incluir en los avisos de privacidad:
Con la actual Directiva y muchas leyes nacionales de trasposición no es necesario todavía la inclusión en los avisos de privacidad de las empresas de toda una serie de informaciones que, por el contrario, con la aplicabilidad del Reglamento sí deberán proporcionarse de forma expresa: Así, a modo de ejemplo, y al margen de que tal y como exige el reglamento la información que se facilite deberá ser fácil de entender y presentarse en un lenguaje claro y conciso, deberá explicarse la base legal para el tratamiento de los datos, los periodos de retención de los mismos y la posibilidad de que los interesados dirijan sus reclamaciones a las Autoridades de Protección de datos.
7º.- Sobre el nuevo sistema de “ventanilla única”:
Este nuevo sistema que introduce el Reglamento está pensado para que los responsables establecidos en varios Estados miembros o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE, tengan una única Autoridad de protección de datos como interlocutora.
Además, este nuevo sistema implicará también que cada Autoridad de protección de datos europea, en lugar de analizar una denuncia o autorizar un tratamiento a nivel estrictamente nacional, valorará si el supuesto tiene carácter transfronterizo, en cuyo caso se abrirá un procedimiento de cooperación entre todas las Autoridades afectadas buscando una solución aceptable para todas ellas, de tal forma que si hubieran discrepancias insalvables, el caso se elevaría al Comité Europeo de Protección de Datos (un organismo de la Unión integrado por los directores de todas las Autoridades de protección de datos de la Unión) que resolverá la controversia mediante decisiones vinculantes para las Autoridades implicadas.
En todo caso, la ventanilla única no afectará a empresas que sólo estén en un Estado miembro y que realicen tratamientos que afecten sólo a interesados en ese Estado y tampoco supondrá que los ciudadanos tengan que relacionarse con varias Autoridades o con Autoridades distintas de la del Estado donde residan. Éstos siempre podrán plantear sus reclamaciones o denuncias ante su propia Autoridad Nacional (En España, la Agencia Española de Protección de datos), la cual será la responsable de informar al ciudadano del resultado de su reclamación o denuncia.
III.- Periodo de adaptación. Medidas preventivas y correctoras a implantar:
Durante estos dos años, tanto los Estados miembros de la UE, las instituciones, así como las empresas y organizaciones que traten datos deberán prepararse y adaptarse para el momento en que el Reglamento sea ya aplicable.
De hecho, desde FABREGAT PERULLES SALES ABOGADOS hacemos extensiva a todos nuestros clientes la recomendación de la Agencia Española de Protección de Datos, de que las empresas empiecen ya a valorar la implantación de algunas de las medidas previstas antes indicadas, identificando el tipo de tratamientos que realizan, y el grado de complejidad del análisis de riesgo que deberán llevar a cabo, planificando o estableciendo el registro de tratamientos de datos, implantando las evaluaciones de impacto, diseñando e implantando los procedimientos de notificación en caso de violaciones de seguridad, revisando los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría, revisar los avisos de privacidad para verificar que se da toda la información legalmente exigible, etc., poniéndonos a su disposición para aclararles cualquier duda al respecto y para valorar conjuntamente la oportunidad y necesidad de implantar todas y cada una de las medidas antes indicadas.
Para ello, desde FABREGAT PERULLES SALES ABOGADOS haremos un seguimiento y les mantendremos informados de todas aquellas herramientas en cuyo desarrollo la propia AEPD ha manifestado estar ya trabajando y que facilitarán la identificación y valoración de riesgos y en recomendaciones sobre la aplicación de tales medidas, en especial relativas a las pymes que realizan los tratamientos más habituales en la gestión empresarial.
