por fin a la vista

Después de tres largos años, y salvo debacle de última hora, el Parlamento europeo aprobará el texto definitivo del Reglamento Europeo de Protección de datos en los primeros días del 2016, concluyendo así un proceso que no quizá no arroje un resultado perfecto (o mejor dicho que no arroja un resultado que guste a todos), pero que desde luego da lugar a una regulación imprescindible, de gran calado e impacto relevante.

La Comisión Europea en su reciente Nota de prensa, ya ha puesto de relieve las múltiples ventajas y aspectos positivos de la nueva regulación. En cualquier caso, y como ya venimos trabajando desde hace tiempo, es importante que las organizaciones privadas y públicas den los pasos para adecuarse a la nueva regulación, por cuanto que aunque no sea exigible hasta dos años desde su publicación, los pasos a dar son diversos, heterogéneos e implican esfuerzos y recursos que conviene tener en cuenta lo antes posible.

Entre los aspectos que cabe destacar del Reglamento europeo de Protección de datos se encuentran los siguientes:

·       Por jerarquía normativa, se trata de una norma directamente aplicable, que no requiere trasposición a cada país.
·       No obstante, las materias no reguladas por el Reglamento podrán seguir estando reguladas por normativas locales (lo que puede ocurrir en España con las medidas de seguridad).
·       Promueve que los individuos tengan más información sobre cómo se tratan sus, de un modo más sencillo y comprensible.
·       Se aclara el concepto del denominado “derecho al olvido”.
·       Introduce el concepto de Accountability, que conlleva la necesidad de un cumplimiento continuo, documentado y acreditable.
·       Regula la figura del Data Protection Officer, como punto de pivotaje del sistema de cumplimiento en Protección de datos.
·       Propone una aproximación basada en riesgos, lo que conlleva que el concepto de Privacy by design se haya de incorporar a la operativa de las organizaciones, y que los Privacy Impact Assessments deban convertirse en práctica rutinaria allí donde sean necesarios.
·       Incorpora la propuesta de one-stop-shop como fórmula para que, en determinadas circunstancias, las organizaciones puedan elegir la Autoridad nacional de Protección de datos con que se relacionan.
·       Conlleva un nuevo paso en lo relativo a Transferencias internacionales, con un especial refuerzo del instrumento de las Binding Corporate Rules. 

La consecuencia práctica de la nueva regulación, aun antes de aprobarse, es que las organizaciones públicas y privadas ya están realizando sus análisis GAP, para identificar su estado de situación con relación a los requisitos de la nueva normativa, y los pasos a dar para que su total adecuación se logre antes de que la exigibilidad y el estricto e intenso régimen sancionador se conviertan en una preocupación de primer orden.

comunicación deloyers