Según la Carta de los Derechos Fundamentales de la Unión Europea, la protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. Sin embargo, la rápida evolución tecnológica y la globalización han planteado nuevos retos en este campo. La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa, y actualmente, la tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Al mismo tiempo, la concienciación sobre la información personal aumenta, y es evidente una mayor preocupación por la seguridad, la intimidad y la protección de los datos personales.

Cada vez es más necesario garantizar un nivel coherente de protección de la información personal en toda la Unión Europea para evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, ya que el buen funcionamiento del mercado exige que la libre circulación de los datos personales no sea restringida ni prohibida. Por lo tanto, se hace necesario una normativa que proporcione seguridad jurídica y transparencia a los operadores económicos, que ofrezca a las personas físicas de todos los Estados miembros el mismo nivel de derechos, que exija a los responsables y encargados del tratamiento de datos el mismo nivel de responsabilidades y obligaciones, y que pueda garantizar una supervisión coherente del tratamiento de datos personales (con sanciones equivalentes en todos los Estados miembros y cooperación efectiva entre las autoridades de control de los diferentes países).

A esto responde la nueva normativa europea sobre protección de datos: “Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos Datos”, más conocido como RGPD o Reglamento General de Protección de Datos (GDPR según sus siglas en inglés), que deroga la antigua normativa (Directiva 95/46/CE) y que entró en vigor el pasado 25 de mayo.

Impacto en las personas

La nueva legislación exige una mayor protección y amplía los derechos de los ciudadanos respecto al tratamiento de sus datos personales, concediendo los siguientes derechos a cualquier persona que resida en la UE o que haya cedido datos a una empresa que opere en cualquier país de la UE:

• Derecho de Acceso: permite al titular de los datos obtener información sobre si se están tratando datos personales que le conciernen o no y, en tal caso, derecho a obtener información sobre sus datos de carácter personal sometidos a tratamiento.
• Derecho de Rectificación: permite corregir errores y modificar los datos que resulten ser inexactos o incompletos.
• Derecho de Oposición: los interesados podrán oponerse al tratamiento de sus datos.
• Derecho de Supresión: permite que los datos sean suprimidos y dejen de tratarse, salvo que exista obligación legal de conservarlos y/o no prevalezcan otros motivos legítimos para su tratamiento.
• Derecho de Limitación: bajo las condiciones establecidas legalmente, permite que el tratamiento de datos se paralice, de tal manera que se evite por parte del responsable su tratamiento en un futuro, que únicamente los conservará para el ejercicio o la defensa de reclamaciones.
• Derecho de Portabilidad: permite al interesado recibir sus datos personales y poder transmitirlos directamente a otro responsable en un formato estructurado, de uso común y lectura mecánica.

Impacto en las empresas

La mayor protección de los datos personales exigida por el RGPD ha supuesto para las empresas el cumplimiento de normas como el deber de informar a las personas interesadas sobre las circunstancias relativas al tratamiento de sus datos, establecer mayores medidas de seguridad, realizar análisis de riesgos, etc. Entre las obligaciones, destaca el cumplimiento de unos determinados principios, que exigen que los datos deberán ser:

• Tratados de manera lícita, leal y transparente en relación con el interesado (licitud, lealtad y transparencia)
• Recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
• Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (minimización de datos).
• Exactos y, si fuera necesario, actualizados: se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (exactitud).
• Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales (limitación del plazo de conservación).
• Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (integridad y confidencialidad). Además, el responsable del tratamiento será responsable del cumplimiento de estos principios y deberá ser capaz de demostrarlo (responsabilidad proactiva).

Sin embargo, esta más exigente regulación no debe de ser vista por las empresas como un obstáculo para desarrollar su actividad, sino como una oportunidad de ofrecer unos servicios más adecuados a sus clientes y de crear una imagen de empresa adaptable a los cambios y comprometida con el cumplimiento de la legislación. En un entorno cada vez más regulado y competitivo, donde las sanciones por incumplir la normativa son cada vez más severas, solo las empresas más ágiles, capaces de modernizarse y adaptarse rápidamente a los cambios serán capaces de lograr la excelencia en el sector.