La propuesta de Reglamento Europeo de Protección de Datos que publicó el Parlamento Europeo junto con el Consejo, relativo a la protección de datos de las personas físicas, que legisla el tratamiento de datos personales y la libre circulación de los mismos va a tener repercusiones tanto a nivel europeo como nacional y en las empresas.
A continuación continúo indicando el resto de los principales cambios legislativos que, con su entrada en vigor serán de aplicación directa y prevalecerá sobre nuestro actual sistema de protección de datos personales.
Tratamiento de datos de menores: Se fija la edad de los menores en menos de 13 años en relación a la oferta directa de servicios de la sociedad de información. El tratamiento de los datos de los menores solo será lícito si el padre o tutor del menor ha prestado su consentimiento previo.
Notificación de brechas de seguridad: Es en las medidas de seguridad donde encontramos entre nuestro reglamento de protección y el borrador Europeo las mayores diferencias.
El borrador impone al responsable y al encargado que implante las medidas de seguridad asegurando el nivel de protección adecuado atendiendo a tres criterios: los riesgos que se presenten, la naturaleza de los datos y los costes de implementación.
El Reglamento otorga a la Comisión la facultad de elaborar actos normativos para establecer medidas de seguridad de carácter técnico y organizativo.
En cuanto a la obligación de comunicar las brechas de seguridad, el borrador diferencia entre notificar a la autoridad de control la incidencia en un plazo no superior a 24 horas y notificarlo al interesado cuando éste haya sido afectado, por la vulneración de las medidas. Con ello se consigue una armonización y homogenización de las directivas europeas sobre seguridad y comunicaciones electrónicas.
Delegado de Protección de Datos: A esta nueva figura el Reglamento le dedica una sección completa dada la relevancia que tendrá en el futuro.
Tanto en autoridades y organismos públicos como en empresas con al menos 250 empleados es obligatorio contar con un “Data Protección Officer (DPO) por un plazo mínimo de 2 años. En los casos de grupos de empresas se puede contar con un solo DPO.
Entre las funciones encomendadas están: supervisar la implementación y aplicación de las políticas internas, las auditorias, la formación del personal, la información a los interesados y las solicitudes presentadas por estos de sus derechos, velar por la conservación de la documentación, supervisar la realización de la evaluación de impacto y ser el contacto con la autoridad, entre otras.
Evaluación de impacto: consiste en realizar una evaluación de riesgos por parte del responsable o el encargado de tratamiento, previamente al tratamiento, permitiendo así que las medidas que se adopten posteriormente tengan como finalidad evitar los accesos y cesiones no autorizados y la pérdida de datos.