Este próximo mes de mayo de 2018, entrará en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos.

Este nuevo reglamento, es una norma directamente aplicable que no requiere de normas internas de transposición, ni tampoco en la mayoría de los casos de normas de desarrollo o aplicación, de ahí que los responsables deben ante todo asumir que la norma de referencia es la RGPD y no las normas nacionales, como venía sucediendo hasta ahora con la Directiva 95/46/CE.

El RGPD mantiene muchos principios, conceptos y mecanismos similares a los establecidos por la Directiva y normas nacionales que vienen aplicándose, por lo que las organizaciones que a día de hoy cumplen con la normativa española, LOPD, parten de una buena base para adecuarse al nuevo Reglamento. Por el contrario, el nuevo RGPD aplicable desde el próximo mayo, modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización según sus características y circunstancias concretas.

Algunas de las principales novedades que incluye dicho reglamento es la inclusión del derecho a la portabilidad de los datos, así como al olvido. La introducción de estos dos nuevos a los ya conocidos como; el acceso, rectificación, oposición y cancelación, supone dotar de una mayor garantía y protección a los datos de los ciudadanos, tanto en sus relaciones con las Administraciones Públicas como con entidades privadas.

El Reglamento será de aplicación, como hasta ahora, a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, pero a su vez es ampliado a  responsables o encargados no establecidos en la Unión Europea siempre y cuando realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización o seguimiento de su comportamiento.

Del mismo modo, el nuevo Reglamento introduce la obligación de realizar evaluaciones de impacto para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas, especialmente cuando se utilicen nuevas tecnologías.

Asimismo, se impone la obligación de nombrar un delegado de protección de datos, encargado de informar, asesorar, supervisar a la entidad que trate con los datos así como ejercer como punto de contacto entre la entidad y la autoridad de control. Si bien es cierto, esta figura, solo será obligatoria en determinados casos.

Dada la proximidad a la entrada en vigor del nuevo Reglamento, es recomendable que las entidades que traten con datos de personas físicas analicen sus sistemas de control y gestión de los mismos, de cara a adaptarse a la nueva normativa y garantizar una mayor seguridad.