El pasado 25 de mayo entró en vigor el nuevo Reglamento General de Protección de Datos. Según este nuevo reglamento de ámbito europeo, hay una serie de normas que deben cumplirse cuando se tratan datos personales. Dichas normas son las siguientes:
1. El interesado debe saber que sus datos personales están siendo tratados. Una persona física debe tener absolutamente claro que sus datos personales, ésos que él mismo está proporcionando al realizar una determinada gestión o acción, están siendo recogidos y que pueden ser utilizados, consultados o tratados en la medida en que se le haya informado de ello.
2. La información y comunicación relativa al tratamiento de datos personales debe ser accesible y fácil de entender. Para ello debe utilizarse un lenguaje sencillo y claro y debe evitarse el utilizar cláusulas o fórmulas complejas que remitan a textos legales. A la persona física cuyos datos personales vayan a ser tratados se le debe informar por escrito: a) sobre la identidad del responsable del tratamiento; b) sobre los fines del tratamiento de los datos personales.
3. Las personas físicas deben conocer los riesgos, las normas, las salvaguardas y los derechos relativos al tratamiento de datos personales y del modo que tienen de hacer valer sus derechos en relación con dicho tratamiento.
4. Los fines específicos del tratamiento de los datos personales deben ser legítimos y explícitos y deben determinarse en el momento de la recogida de los mismos.
5. Los datos personales recogidos deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello implica que se conserven sólo durante un período de tiempo y que sólo se traten si el objetivo perseguido no puede alcanzarse por otros medios.
6. Deben implementarse y garantizarse las medidas necesarias para rectificar o suprimir aquellos datos personales que sean inexactos.
7. Los datos personales deben ser tratados de una manera según la cual se garanticen una seguridad y una confidencialidad adecuada. Gracias a ello debe impedirse el acceso o el uso no autorizado de esos datos y del equipo que se haya utilizado en el tratamiento.
El nuevo Reglamento General de Protección de Datos obliga a muchas empresas a nombrar a un “delegado de protección de datos” (DPO). Este delegado de protección de datos deberá velar porque la empresa cumpla con los principios del Reglamento. Para ello es necesario que la empresa adopte las medidas organizativas y técnicas que garanticen la aplicación de los preceptos del Reglamento.
Si se incumplen las normas recogidas en el Reglamento General de Protección de Datos, la empresa incumplidora de las mismas podrá enfrentarse a multas que asciendan al 4% de la facturación mundial de la entidad en cuestión o a una de 20 millones de euros.
La nueva legislación impone también la obligatoriedad por parte de los usuarios de dar un consentimiento explícito para que una determinada empresa pueda hacer uso de sus datos personales. Hasta ahora, ese consentimiento se daba de forma tácita.