El pasado 25 de mayo de 2016 se aprobó el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Como consecuencia se derogará la Directiva 95/46/CE.

Este reglamento es de directa aplicación en toda Europa, sin necesidad de incorporación por los Estados miembros a su ordenamiento interno.

No obstante, debido al calado y trascendencia de las nuevas normas y derechos regulados, será aplicable a partir del 25 de mayo de 2018, por lo que las empresas y Administraciones Públicas dispondrán de 2 años para realizar las modificaciones pertinentes de forma que se garantice su cumplimiento.

La consecuencia directa es el establecimiento de las normas para la protección de las personas físicas en cuanto al tratamiento de sus datos personales, así como las normas para posibilitar la libre circulación de tales datos.

En cuanto a la actual Ley Orgánica de Protección de Datos (LOPD) permanece vigente hasta que se logre su derogación o bien su modificación para adecuarla al RGPD.

Además el Reglamento Europeo busca proteger los derechos y las libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales, tanto si son procesados por entidades privadas como por Administraciones Públicas.

No sólo se reconocen los ya clásicos derechos de acceso, rectificación, cancelación y oposición, sino que se regulan dos nuevos derechos: el denominado «derecho al olvido», como efectivo derecho de supresión, y la portabilidad de los datos.

También se detallan mejor como garantías adecuadas para los interesados, las especificaciones y excepciones del deber de información y de los diversos derechos, los deberes de transparencia o la limitación del tratamiento de datos personales con fines de archivo en interés público, de investigación científica e histórica o fines estadísticos.

Otra novedad práctica muy significativa consiste en que el Reglamento se aplicará al procesamiento de datos de europeos por entidades establecidas en Europa, pero también por aquellas empresas situadas fuera de la Unión Europea que realicen actividades dentro de la UE y que impliquen el tratamiento de datos personales, incluso aunque no tengan presencia física en el territorio de la Unión.

A esta novedad se suma la obligación para las empresas y Administraciones de designar en ciertos casos a un «delegado de protección de datos» (DPO, Data Protection Officer) para garantizar el cumplimiento de la normativa ahora en vigor. La diferencia principal con el Responsable de Seguridad es la exclusividad del DPO en sus funciones. El DPO deberá ser designado en atención a sus cualidades profesionales y conocimientos normativos y prácticos especializados debidamente acreditados.

Finalmente, las cuantías de las sanciones se elevan sustancialmente, que pueden alcanzar hasta 20.000.000€ o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.