El 25 de mayo de 2018, dos años más tarde de su entrada en vigor, comenzará a aplicarse el nuevo Reglamento General de Protección de Datos. Así pues, para las empresas es realmente importante empezar a conocer las novedades que introduce este Reglamento europeo, que no son precisamente pocas.
En primer lugar, podemos considerar la eliminación de la necesidad de notificar los ficheros a la Agencia Española de Protección de Datos (AEPD). Sin embargo, que desaparezca esta obligación no implicará que no deba incorporar los ficheros en su empresa, ya que esto provocaría, seguramente, un tratamiento deficiente de los datos de los que sea responsable.
En segundo lugar, aparecen dos nuevas figuras: el Corresponsable del Tratamiento, pensado sobre todo para los grupos de empresa, y el Delegado de Protección de Datos o DPO, que tendrá que designarse en el caso de las administraciones públicas y para empresas con más de 250 trabajadores.
En cuanto a los principios rectores del tratamiento de datos personales, aparece el principio de responsabilidad proactiva, que comportará que la implantación de la protección de datos no esté basada exclusivamente en generar un Manual de Seguridad para cada empresa, sino que la protección de datos se mantenga viva dentro de la empresa mediante la debida política de información y de seguridad; la signatura de los contratos que resulten necesarios; así como el registro de actividades.
Por lo que respecta a las categorías de datos, desaparece la de nivel medio de clasificación, quedando como categorías distintivas la básica y la alta, ésta última formada por datos considerados como especiales o penales.
Surgen dos derechos para los interesados consistentes en el derecho al olvido, en relación con la potestad de suprimir los datos (excepto por motivos legítimos del Responsable) y el derecho de portabilidad, solo para tratamientos automatizados a la hora de transmitir datos a otro responsable o al mismo interesado. Como ejemplo, la AEPD, en su Resolución Nº02170/2016, de 9 de septiembre de 2016, haciendo referencia ya a la aplicación del derecho al olvido, concluye que Google Inc. debe proceder a la eliminación de un aviso incluido por el buscador al pie de los resultados, en relación con el reclamante, todo ello “de acuerdo con la ley de protección de datos europea”. La pretensión del reclamante se estima por haber, el mismo Google Inc., procedido a eliminar otras informaciones similares a las del reclamante, adaptándose anticipadamente a las nuevas previsiones de la legislación de protección de datos europea.
Respecto la política de seguridad, aparecen la protección por diseño y la protección por defecto. La primera de ellas implicará establecer medios para proteger los datos en todas las fases que se lleven a cabo en la actividad empresarial. Con esta nueva implementación de la protección no se tendrá que esperar a que la empresa esté en funcionamiento para aplicar la política de seguridad, se deberá predefinir cómo se atenderán los derechos del interesado, mediante avaluaciones de impacto y análisis de riesgo.
Por último, pero no menos importante, el régimen sancionador tendrá como criterios de sanción, según el tipo de infracción, las multas administrativas de 10.000.000€ o 20.000.000€ como máximo o, tratándose de una empresa, multas de una cuantía equivalente al 2% o 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.