El 4 de mayo de 2016 fue publicado en el Diario Oficial de la Unión Europea el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por el que se deroga la Directiva 95/46/CE.
Este Reglamento entró en vigor y es de aplicación en España a partir del 25 de mayo de 2018 y pretende reforzar el derecho fundamental a la protección de datos y hacerlo uniforme en todos los Estados miembros. Al tratarse de un Reglamento, no necesita transponerse a derecho de cada Estado miembro, y resulta de aplicación directa en virtud de lo establecido en el artículo 288 del Tratado de Funcionamiento de la Unión Europea, por lo que se considera que permitirá reducir la fragmentación jurídica y ofrecerá una mayor seguridad jurídica merced a la introducción de un conjunto armonizado de normas básicas, la mejora de la protección de los derechos fundamentales de las personas y la contribución al funcionamiento del mercado interior.
La Agencia Española de Protección de Datos viene elaborando y adaptando una serie de guías encaminadas a analizar los principales problemas de seguridad, destacando con ello la importancia de identificar las amenazas y riesgos a los que está expuesta una actividad de tratamiento de datos personales, por lo que se considera fundamental disponer de una descripción detallada de tales riesgos.
El proceso de gestión de riesgos implica realizar inicialmente las tareas de identificación y de evaluación, para intentar asegurar una correcta fijación de las amenazas a los que está expuesta una determinada actividad de tratamiento de datos.
Dentro de ello, la Agencia considera especialmente relevante tanto la integridad, disponibilidad y confidencialidad de los datos como el cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados. Para ello, ofrece un listado de cumplimiento normativo que puede ser utilizado por responsables y encargados de tratamientos de datos personales como un método básico para identificar los requisitos de cumplimiento del Reglamento General de Protección de Datos (RGPD) con el objeto de poder valorar los aspectos que deben tener en cuenta durante los procesos de análisis de riesgos y evaluación de impacto.
Este listado, junto con otras guías que pueden encontrarse en la propia página web de la Agencia, constituyen una ayuda muy importante en el proceso de adaptación que todas las bases de datos personales y sus correspondientes tratamientos deben realizar para adaptarse a la nueva normativa europea.
Autor Francisco Corpas
Francisco Corpas es abogado, profesor y, en los pocos ratos libres que le quedan, músico compositor. Como pasa muchas horas al día hablando en jurídico, promete dejar ese lenguaje aparte en este blog, siempre que sea posible. Pero intentará acercar el Derecho desde una perspectiva más cálida y humana