El nuevo RGPD introducirá dos nuevas tipologías de información objeto de especial protección, debido en parte al desarrollo tecnológico en cuyas aplicaciones cuentan con cada vez mayor presencia: los datos biométricos (características físicas de la persona), hasta ahora entendidos como identificativos y de protección básica, así como los genéticos. Así lo ha manifestado Antonio Troncoso, catedrático de la Universidad de Cádiz y exdirector de la Agencia de Protección de Datos de la Comunidad de Madrid en una jornada para analizar el nuevo Reglamento organizada por PSN. Dentro de esa especial protección, ha explicado, se mantienen categorías como los datos de ideología, religión, creencias, raza, salud y vida sexual.

Troncoso ha explicado también que los grandes objetivos de esta normativa son la adaptación al cambio tecnológico (debido al desarrollo de Internet, los motores de búsqueda o las redes sociales), así como la pretensión de dar a la persona mayor control y más garantías sobre su información personal y su tratamiento. En tercer lugar, pretende adaptarse al nuevo mercado europeo digital, evitando la fragmentación de las normas nacionales. Por último, trata de reducir la carga burocrática de la materia. Sus principios se han concretado gracias a la jurisprudencia, destacando la novedad de la proclamación del principio de transparencia (que implica el incremento de información y el derecho al acceso de los interesados), el de minimización (recabar la mínima cantidad de datos posibles para alcanzar el interés legítimo) y el de responsabilidad proactiva por parte de los responsables del tratamiento de los datos.

Más responsabilidad de la empresa

El Reglamento impone una mayor responsabilidad de las empresas e instituciones en el tratamiento de los datos que manejan para prevenir los posibles incumplimientos, llevando a cabo una evaluación de riesgos. Igualmente, serán los responsables del tratamiento de datos quienes deban valorar qué medidas de seguridad deben implementar en función del nivel de riesgo. Sólo están exentas de esta obligación las empresas de menos de 250 personas, salvo que su actividad se relacione con el tratamiento de datos o se utilice información objeto de especial protección.

Se ha destacado la introducción del Delegado de Protección de Datos (DPO) como una figura clave en esta materia, que debe contar con amplia formación en la misma.