El nuevo Reglamento general de protección de datos entró en vigor en mayo de 2016 y será aplicable a partir del 25 de mayo de 2018. En este periodo transitorio y aunque siguen vigentes las disposiciones de la Directiva 95/46 y las normas nacionales que lo aplican, los responsables y encargados de tratamiento deben ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del nuevo Reglamento el momento en que sea aplicable.
Destaca principalmente:
- Reducción de la edad de consentimiento. Se rebaja la edad mínima para dar consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) a los 16 años. De todos modos según EEMM se permite reducir hasta los 13 años. En España la edad mínima es de 14 años.
En el caso de las empresas que recopilen datos personales, el consentimiento debe ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.
- responsabilidad activa, La prevención por parte de las organizaciones que tratan datos. Las empresas deben adoptar medidas que aseguren que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. Para ello se han previsto una serie de medidas:
1) Promoción de códigos de conducta y esquemas de certificación
2) Protección de datos desde el diseño
3) Protección de datos por defecto
4) Medidas de seguridad
5) Mantenimiento de un registro de tratamientos
6) Realización de evaluaciones de impacto sobre la protección de datos
7) Nombramiento de un delegado de protección de datos
8) Notificación de violaciones de la seguridad de los datos que se comunicacin sin dilación
- más compromiso con la protección de datos de las organizaciones, públicas o privadas. No supone una mayor carga pero si una forma de gestionar la protección de datos diferente a la que se viene empleando hasta ahora. Vistas las medidas anteriores para este objetivo es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas se deben aplicar y cómo hacerlo.
- Consentimiento y herramientas de valoración de riesgos. Se está trabajando en el desarrollo de medidas que faciliten la identificación y valoración de riesgos, especialmente en relación con las pymes que tratan con los datos más habituales en la gestión empresarial.
Según el reglamento el consentimiento debe ser libre, informado, específico e inequívoco. Para ello, se requerirán documentos como la declaración de los interesados, registros, autorizaciones, ... y sobre todo que sea verificable.
laAgencia Catalana de Protección de Datos ofrece información sobre los aspectos más relevantes del contenido y del proceso de entrada en vigor de la nueva regulación.