El pasado 25 de mayo ha entrado en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD), publicado en el DOUE el pasado 4 de mayo de 2016.
Una norma esperada desde hace varios años y cuyo contenido era conocido desde entonces, salvo las reformas que se han ido realizando para avanzar en su procedo de tramitación. Los principales escollos se referían a la pérdida de poder de los Estados miembros sobre determinados tratamientos de datos realizados por diversos motivos de interés público (entre ellos la seguridad y defensa ante ataques terroristas).
De entre sus principales novedades destaca el reconocimiento de dos nuevos derechos para los interesados, el de portabilidad de los datos previsto en el art. 20, el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando se den unas concretas circunstancias señaladas en el propio precepto. El segundo está previsto en el art. 18 y se trata del derecho a la limitación del tratamiento, en virtud del cual, el interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos, o el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso, o el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones, y cuando el interesado se haya opuesto al tratamiento alegando que los motivos legítimos del responsable no deben prevalecer sobre los del interesado. Como puede verse, mas que un derecho, se trata de la obligación de adopción de una medida cautelar cuando así lo solicite el interesado titular del dato personal.
También se ha dicho que se ha reconocido el famoso derecho al olvido de la no menos famosa Sentencia Google y que supuso también el, indeseado en principio, salto a la fama del Sr. Costeja. Pero este derecho, en el fondo, ya estaba previsto dentro del derecho de cancelación que formaba parte de los cuatro derechos conocidos habitualmente como ARCO (acceso, rectificación, cancelación y oposición).
Otra de las novedades es la eliminación del deber que imponía la Directiva del 95 de notificar e inscribir los ficheros de datos en registros públicos. En nuestro caso, como es bien sabido, debían inscribirse en la Agencia Española de Protección de Datos. Parece que esta obligación no ha ofrecido los resultados esperados. En su lugar, y para el caso de que la empresa tenga 250 empleados o más, se sustituye por la llevanza de un registro de actividades de tratamiento de la propia empresa. Igualmente, las obligaciones de medidas de seguridad sobre los ficheros, impuestas por los artículos 89 y siguientes del Reglamento español de desarrollo de la Ley Orgánica de Protección de Datos, se sustituyen por el deber de adoptar una actitud activa y vigilante en esta materia debiendo desarrollar lo que se dispone en el art. 32 del Reglamento europeo.
En el fondo, como se ha señalado oportunamente, se trata de adoptar técnicas jurídicas del mundo anglosajón, que promueven la auto regulación, y que ya están desarrolladas en la normativa sobre protección ambiental, como por ejemplo, las evaluaciones de impacto ambiental que, el art. 35 del Reglamento europeo, denomina como evaluación de impacto relativa a la protección de datos.
La necesidad de un cambio de mentalidad y de actitud por parte del cualquier responsable o encargado del tratamiento salta a la vista. Para efectuarlo tenemos un plazo de dos años, hasta el 25 de mayo de 2018 que, aunque no lo parezca, está «a la vuelta de la esquina».
Luis Felipe López Álvarez es profesor de Derecho Informático y de Internet de la UDIMA.