El pasado 4 de mayo se publicó por fin, tras cuatro años de negociaciones, en el Diario Oficial de la Unión Europea (DOUE), el texto definitivo del Reglamento General de Protección de Datos (RGPD o Reglamento). El texto entró en vigor a los 20 días desde su publicación en el DOUE, pero sus disposiciones no serán de obligado cumplimiento hasta el 25 de mayo de 2018.Se abre por tanto ahora un período de dos años en el que las empresas que traten datos personales en la UE deberán adaptarse a las nuevas obligaciones que este nuevo texto legislativo supone en materia de privacidad.
Se trata de una reforma histórica que modifica drásticamente la normativa comunitaria en este sentido y que establece un moderno y armonizado marco de protección de datos en toda la UE.
No obstante, el texto legislativo contiene una serie de títulos habilitantes para el desarrollo de determinadas disposiciones legales por parte de las autoridades nacionales. Por lo tanto, en este período de dos años, las autoridades locales deberán desarrollar, en función de las necesidades propias de cada Estado miembro, la normativa de desarrollo del RGPD. Todo ello deberá llevarse a cabo bajo los mecanismos de coordinación y cooperación que el propio RGPD establece, en aras a lograr la armonización en materia de protección de datos en toda la UE que persigue este Reglamento.
Supone además un paso importante en la estrategia de la UE para la implementación del Digital Single Market en el marco de otros textos de privacidad que, al igual que el RGPD, han sido recientemente aprobados, como la Directiva de Datos en Transportes Aéreos (PNR), que obliga a las compañías aéreas a intercambiar datos para la cooperación y la lucha contra el terrorismo.
Las nuevas reglas que trae el Reglamento sustituyen a la Directiva de 1995, que se aprobó cuando el uso de Internet no estaba tan extendido.
Pasamos de una legislación basada en el compliance, en el que se exigía a las entidades el cumplimiento formal de una serie de obligaciones en materia de protección de datos, a una legislación basada en el análisis de riesgos, en la que el cumplimiento de la normativa no es ya meramente formal, sino que las empresas deben poder acreditar dicho cumplimiento y además tratar de evitar el daño. En este sentido, los principios fundamentales que giran en torno al nuevo texto legislativo son el principio de accountability -responsabilidad activa- y el principio de transparencia.