Hoy mismo, día 4 de mayo, ha sido publicado en el Diario Oficial de la Comisión Europea el Reglamento General de Protección de Datos, el cual entrará en vigor el martes 25 de mayo.
Sin embargo, no será exigible hasta que no hayan pasado dos años desde su entrada en vigor, plazo que se facilita a los Estados y a las empresas para adaptarse a esta nueva normativa.
Debe destacarse que los Reglamentos, a diferencia de las Directivas (que requieren la trasposición mediante la aprobación de una norma en cada uno de los Estados Miembros) son de aplicación directa; es decir, que el Reglamento General de Protección de Datos será el mismo para todos los Estados Miembros.
Este Reglamento deroga la Directiva 95/46/CE, en la que se sustentan las leyes de protección de datos de cada uno de los Estados Miembros, lo que no significa que se vayan a derogar también dichas leyes, sino que habrá que hacer un mapeo entre la normativa vigente y el Reglamento para determinar el conjunto total de obligaciones que deben cumplir las empresas.
El texto definitivo se puede consultar a través del siguiente enlace:
Asimismo, puede consultarse esta infografía publicada por el Consejo de Europa sobre las novedades del Reglamento:
Lo más llamativo es, sin duda, el amplísimo margen del régimen sancionador, que sólo prevé 2 niveles, dependiendo de las obligaciones incumplidas:
- Hasta 10 millones de euros (o hasta el 2 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía).
- Hasta 20 millones de euros (o hasta el 4 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía).
Estos nuevos márgenes dejan poco espacio a la asunción de riesgos, al menos hasta que se empiecen a aplicar y se pueda acotar mejor el impacto previsible de las sanciones.
De hecho, es de suponer que estos márgenes tan amplios únicamente persiguen a las grandes multinacionales que basan sus modelos de negocio en la explotación de datos personales (redes sociales, buscadores, etc.), de forma que les cueste más aplicar la fórmula de “más vale pedir perdón que pedir permiso”.
Ahora se abre una fase de análisis e implantación progresiva de las nuevas obligaciones para que el 25 de mayo de 2018 todas las empresas y entidades que traten datos personales puedan estar cumpliendo con el nuevo marco europeo de protección de datos.
Loreto Jiménez
José Carlos Moratilla
Departamento Legal de Áudea