El Reglamento Europeo de Protección de Datos UE 2016/679 establece un nuevo marco normativo en materia, hasta la fecha regulada como derecho fundamental de los ciudadanos bajo el amparo de la Directiva 95/46/CE, que ha sido derogada. La vertiginosa evolución del entorno digital ha hecho necesario unificar y actualizar las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y su circulación.
El reglamento que, según concreta en su artículo 3, se aplica a la protección de datos incluso más allá de los límites territoriales de la UE, es extenso y minucioso. Su contenido se orienta tanto a aumentar el control de los ciudadanos sobre sus datos personales como a establecer sistemas preventivos en las organizaciones que manejan esos datos. Asimismo refuerza la supervisión de todo él y establece un riguroso régimen de sanciones para los casos de incumplimiento.
Entre las novedades de la nueva regulación destacar la exigencia de un consentimiento libre, específico, informado e inequívoco (no se permite el consentimiento tácito), la obligación de notificación en el plazo de 72 horas en el caso de violación de la seguridad, la creación de la figura del DPO (delegado de protección de datos) como garantía de la existencia de un sistema de funcionamiento proactivo, el establecimiento de la supervisión mediante ventanilla única, el procedimiento y el reconocimiento de nuevos derechos ciudadanos que amplían a los tradicionales de acceso, rectificación, cancelación y oposición. Al efecto se establece el derecho al olvido mediante la rectificación o supresión de datos personales, el derecho de portabilidad que facilite la transferencia de datos de un proveedor de servicios a otros y el derecho a obtener la limitación del tratamiento.
El ambicioso texto, para el que el legislador europeo ha establecido un plazo de dos años -mayo 2018- para su aplicación efectiva, supone la necesidad de los estados miembros de adaptar sus legislaciones respectivas así como, a las organizaciones de todo tipo, a adaptar sus protocolos de actuación. Respecto este último punto, conviene señalar que las empresas además de establecer procedimientos formales, solo lograran el objetivo de integrar la materia en sus actividades, mediante la puesta en marcha de acciones formativas que faciliten el conocimiento y sensibilización de su personal.
En el ámbito financiero la implantación de este reglamento requiere de un análisis del uso y las partes implicadas. Dado el rápido desarrollo que están teniendo las FinTech (plataformas de servicios financieros basados en el uso de la tecnología) a través de las cuales se puede desde aperturar cuentas directamente a través de internet con reconocimiento facial y DNI, intercambiar capitales ya sean de inversor o emisor o realizar casi cualquier operación comercial o financiera. En este entorno hay que identificar quien es el obligado al cumplir con las obligaciones y garantías LOPD e informar del uso de la información por terceras partes.
