El Reglamento General de protección de Datos de la Unión Europea (Reglamento UE 2016/679 de 27 de abril de 2016) fue publicado hace casi dos años. Es una norma del Parlamento Europeo y del Consejo relativa al tratamiento de datos personales y a la libre circulación de esos datos. Junto con la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, también del 27 de abril, relativa a la protección de datos personales por parte de las autoridades para fines de prevención de infracciones penales, se consideran el nuevo marco europeo de la protección de datos de carácter personal.

Hay que destacar que el Reglamento es una norma de obligado cumplimiento, sus contenidos serán “obligatorios en todos sus elementos y directamente aplicables en cada Estado miembro”. No es preciso, en consecuencia,  que sea adaptada a nuestro ordenamiento jurídico por una norma estatal.

Por eso, aunque entró en vigor a los 20 días de su publicación en el Diario oficial de la Unión Europea, la aplicación de la norma tuvo un periodo de carencia mucho mayor, aunque está a punto de cumplirse: el próximo 25 de mayo de 2018 su contenido será aplicable en los términos expuestos.

Tanto el ámbito objetivo de aplicación (el “tratamiento total o parcialmente automatizado de datos personales y el tratamiento no automatizado de datos personales contendidos o destinados a ser incluidos en un fichero”), como el territorial (a todas las actividades de un establecimiento de la Unión, aunque el tratamiento se realice fuera y a todos los datos de los residentes en la Unión, aunque el establecimiento no esté ubicado en la Unión) es muy extenso, hasta el punto que se considera que, a partir de su vigencia, habrá sobre este tema una norma para todo un continente.

Vinculación estrecha con el sector de las telecomunicaciones

Se establecen nuevos derechos para los ciudadanos (significativamente el conocido como derecho al olvido, a la supresión de datos) y, lo que afecta a las empresas, nuevas obligaciones relacionadas sobre todo con la seguridad en el fichero y las obligaciones de los responsables del mismo, creándose la figura del Delegado de Protección de Datos.

Podemos decir que nuestras empresas realizan trabajos y prestan servicios que están directamente regulados por la nueva norma. Sin ánimo exhaustivo se pueden mencionar:

• Servicios de hogar digital bajo infraestructuras desplegadas conforme al Real Decreto 346/2011.
• Servicios de comunicaciones electrónicas sujetas al cumplimiento de lo dispuesto en la Ley 25/2007 de Conservación de Datos Relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones.
• Servicios de videovigilancia; servicios en edificios singulares de especial tratamiento por la sensibilidad de los datos (establecimientos penitenciarios, hospitales y centros de salud, residencias de tercera edad,…)
• Servicios basados en la nube (cloud computing); servicios a través de redes multiservicio.
• Servicios de IoT (Internet de las cosas).
• Servicios que conllevan tratamiento de grandes cantidades de datos (big data): servicios prestados a través de redes wifi de uso público.

Hay que tener en cuenta también que la entrada en vigor del reglamento Europeo no supone la derogación de la norma española, de la Ley orgánica de Protección de Datos y su Reglamento de desarrollo. Se plantean serias dudas, eso sí, sobre aspectos regulados contradictoriamente como el registro de ficheros o el valor de las comunicaciones y circulares de la AEPD.

Próxima entrevista con la AEPD

AMIITEL ha solicitado una entrevista con la Directora de la Agencia Española para conseguir varios objetivos: que nuestras empresas asociadas puedan conocer de primera mano las dificultades de la aplicación de la norma y tomar medidas para solventarlas; participar en la preparación de herramientas que ayuden a responsables y encargados del tratamiento, conservación y trasmisión e los datos a cumplir con los objetivos de la norma exige y participar en  la elaboración de cláusulas informativas que adaptadas por sectores que indiquen la adhesión de las empresas al Código de Buenas Prácticas en Materia de Protección de Datos.

Obviamente se informará adecuadamente a los asociados y partners del resultado de las entrevistas y los pasos que se pretendan dar.

Ángel Panizo, Departamento Legal de Amiitel.