El Reglamento, que deroga la anterior Directiva del 1995, impone un modernizado marco normativo a los países pertenecientes a la Unión Europea implementando así, un sistema de mayor control en la información privada de ciudadanos en la esfera empresarial. Las novedades que se destacan son:
- ÁMBITO DE APLICACIÓN. El reglamento no se restringe únicamente al espacio europeo sino que impone obligaciones a todas aquellas empresas que no estén establecidas en la Unión Europea y que sean responsables de tratar con datos personales como consecuencia de ofrecer bienes y servicios dentro la propia Unión Europea.
- NUEVOS PRINCIPIOS. Se introducen los principios de transparencia, limitación de finalidad y minimización de datos en cuanto que los datos personales se trataran de manera lícita, leal y transparente con el interesado y éstos serán recogidos adecuada y pertinentemente para una finalidad concreta.
- CONSENTIMIENTO INEQUÍVOCO. Resulta imprescindible contar con el consentimiento libre, específico, informado e inequívoco, exigiéndose así una acción positiva por parte del interesado. Por lo tanto, el silencio, la existencia de casillas ya marcadas y la inacción ya no constituyen prueba de consentimiento.
- DERECHO DE OLVIDO. Los ciudadanos podrán ejercer este derecho para que se eliminen sus datos cuando estos no sean necesarios para la finalidad por la que fueron recogidos, se haya retirado el consentimiento o aquellos que hayan sido tratados de forma ilícita.
- RESPONSABILIDAD PROACTIVA. Se exige a las empresas que tengan una actitud consciente, diligente y proactiva del tratamiento de datos aplicando así las medidas técnicas y organizativas necesarias para ello.
- DATA PROTECTION OFFICER. Una persona en la empresa deberá ser asignada como el delgado de protección de datos asumiendo así las competencias de coordinación y control del cumplimiento de la normativa establecida en el mencionado Reglamento.
- VIOLACIONES DE SEGURIDAD. Se introduce la obligación de informar a las autoridades de toda brecha que se produzca en la seguridad del sistema en un plazo de 72 horas. Además, también será necesario comunicar esta violación al interesado cuando suponga un riesgo para sus derechos y libertades.
- En este nuevo Reglamento, el régimen sancionador se agrava y se vuelve mucho más exigente contemplando así multas administrativas que pueden llegar a alcanzar los 20.000.000 euros.
- SISTEMA DE VENTANILLA ÚNICA. Todo interesado que considere que sus derechos han sido vulnerados podrán interponer una reclamación ante la autoridad de control. Cada estado de la Unión Europea tendrá una autoridad competente que deberá cooperar con las otras cuando se trate de un asunto transfronterizo. En caso de discrepancias, el caso puede elevarse al Comité Europeo de Protección de Datos para que resuelva la controversia mediante decisiones vinculantes para las autoridades implicadas.
El nuevo Reglamento 2016/679 entró en vigor el pasado 25 de mayo de 2016 aunque su exigibilidad se ha postergado a dos años, hasta el 25 de mayo de 2018, tal y como se establece en el artículo 99 del mismo.