El Reglamento europeo de 27 de abril de 2016 sobre datos personales entró en vigor el 25 de mayo de 2018.
Su objetivo es reforzar la protección de las personas en la Unión Europea. Define y especifica una serie de derechos concedidos a las personas cuyos datos personales se procesan. También establece una serie de obligaciones para las empresas.
1. Un amplio ámbito de aplicación
Desde el 25 de mayo de 2018, cualquier empresa, siempre que ofrezca bienes o servicios a los interesados en toda la Unión Europea, debe aplicar el RGPD.
2. El principio de responsabilidad y el fin de la obligación de informar
El principio de responsabilidad es uno de los principios fundamentales del RGPD. Se refiere a la obligación de las empresas de aplicar mecanismos y procedimientos internos para demostrar el cumplimiento de las normas de protección de datos.
Este principio obliga a las empresas a proporcionar a las autoridades de supervisión la documentación que acredite el cumplimiento del Reglamento.
Las operaciones de tratamiento rutinarias ahora deben aparecer en un registro y ya no tienen que ser declaradas a la CNIL.
3. Aumento de las sanciones
El incumplimiento de las obligaciones del Reglamento se sanciona con multas administrativas emitidas por la Comisión Nacional de Informática y Libertades. Estas multas se han incrementado considerablemente y pueden ascender hasta 20 millones de euros o el 4% del volumen de negocios mundial (lo que sea mayor).
La CNIL vigila la aplicación del RGPD y en enero de 2019 pronunció una sanción de 50 millones de euros contra Google LLC.
4. Reforzar los derechos de los interesados
Se reconocen nuevos derechos a los interesados en el tratamiento.
Entre ellos se encuentran, por ejemplo, el derecho a la portabilidad, el derecho al olvido y el derecho a la limitación. En caso de violación de los datos, también deben definirse los procedimientos de notificación a la CNIL y a las personas afectadas.
5. Un nuevo actor: el responsable de la protección de datos (RPD) o DPO (Data Protection Officer)
El RPD garantiza el cumplimiento de la Ley de Protección de Datos por parte de su organización.
Su designación, obligatoria en determinados casos (*), es una de las principales medidas del Reglamento. Toma la continuación del Correspondent Informatique et Libertés pero sus atribuciones son más amplias.
Las empresas que deseen comprometerse a respetar la privacidad de las personas también pueden proceder al nombramiento opcional de un DPO
El RPD supervisa continuamente el cumplimiento de su organización. Su nombramiento debe reunir condiciones de integridad y ética profesional.
(*)
Para las autoridades u organismos públicos, los organismos cuyas actividades básicas les llevan a realizar un seguimiento regular y sistemático de las personas a gran escala, los organismos cuyas actividades básicas les llevan a tratar a gran escala los llamados datos "sensibles" o los datos relativos a condenas e infracciones penales.
6. Nuevas obligaciones para los subcontratistas
Hasta el 25 de mayo de 2018, solo era responsable el responsable del tratamiento que decide los fines y los medios del tratamiento.
El RGPD establece que un procesador es responsable en principio y lo somete a obligaciones específicas de seguridad, confidencialidad y responsabilidad.
Tiene la obligación relativa de asesorar sobre determinados puntos del reglamento (lagunas, seguridad, destrucción de datos, contribución a las auditorías).