En mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en lo sucesivo RGPD), y será aplicable a partir del 25 de mayo de 2018.
El RGPD es una norma aplicable directamente, sin ser necesaria transposición normativa en España, aunque ya se ha anunciado que la vigente Ley Orgánica de Protección de Datos (LOPD) será sustituida por una nueva que incluirá precisiones o desarrollos del RGPD.
El RGPD introduce modificaciones y novedades en el régimen actual, regidos por dos principios generales: el principio de responsabilidad proactiva y el enfoque de riesgo.
El Principio de Responsabilidad Proactiva supone que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD. Es decir, deben analizar qué datos tratan, con qué finalidad y qué operaciones de tratamiento realizan. A partir de ese análisis, deben adoptar las medidas recogidas en el RGPD, que deben ser adecuadas para su cumplimiento, y deben poder demostrarlo ante interesados y autoridades supervisoras. Ello obliga a las empresas a tener una actitud proactiva, diligente y consciente en los tratamientos de datos personales que efectúen.
El Enfoque de Riesgo implica tener en cuenta el riesgo del tratamiento para los derechos y libertades de las personas. De esta manera, sólo cuando haya un riesgo alto para esos derechos y libertades se aplicarán algunas medidas del RGPD. Así, las empresas aplicarán unas u otras medidas en función de sus características organizativas.
