En abril de 2016, la Unión Europea adoptó el Reglamento de la UE 2016/679 (Reglamento general de protección de datos-GDPR) sobre la protección de las personas físicas con respecto al Tratamiento de Datos Personales y sobre la libre circulación de dichos datos, y la posterior derogación de la Directiva 95/46 / CE El RGPD se aplicará a partir del 25 de mayo de 2018, dando a los estados miembros y las empresas un período de dos años para tomar todas las medidas necesarias para prepararse para su implementación.
En pocas palabras, los principales cambios introducidos por el GDPR es ampliar el alcance material y territorial de la protección de datos. En primer lugar, amplía la gama de datos sujetos a protección, datos de ubicación, identificador en línea (dirección IP de la computadora), biométricos (imágenes faciales o datos físicos) y datos genéticos. En segundo lugar, en cuanto al impacto territorial, afectará también a los servidores o procesadores que no estén establecidos en la UE, si las actividades de procesamiento están relacionadas con la oferta de bienes o servicios a personas físicas en la UE; o al seguimiento de su comportamiento en la medida en que su comportamiento tenga lugar dentro de la UE.
Si bien el RGPD será de aplicación directa en el territorio de los Estados miembros, sin que sea necesario incorporarlo a la legislación nacional, los Estados miembros podrán adoptar normas específicas hasta el 25 de mayo de 2018 para asegurar su aplicabilidad.
A este respecto, el Ministerio del Interior de Rumania y la Autoridad Nacional de Supervisión del Tratamiento de Datos Personales de Rumanía (la Autoridad de Supervisión) han elaborado conjuntamente un proyecto de ley destinado a modificar y complementar la Ley núm. 102/2005 sobre el establecimiento, la organización y el funcionamiento de El Autoridad Nacional de Supervisión y derogar la Ley No. 677/2001 para la protección de las personas con respecto al procesamiento de datos personales y la libre circulación de dichos datos. El proyecto de ley se publicó recientemente en el sitio web del Ministerio del Interior y estará abierto a la revisión y opinión públicas hasta 25 2017 septiembre.
Según la Nota Explicativa del Proyecto de Ley, se busca consolidar el rol, las competencias y la autonomía de la Autoridad Fiscalizadora. Los principales cambios se refieren a las siguientes cuestiones: consolidación del estatuto de la Autoridad de Control, fortalecimiento de las competencias de control y sanción, y establecimiento de los aspectos procesales de la resolución de una denuncia de protección de datos.
Consolidar el estatus de la Autoridad de Supervisión
El personal de la Superintendencia tendrá la misma categoría y derechos que los parlamentarios, siendo considerados servidores públicos. Además, la actividad desarrollada por el personal jurídico contará para la antigüedad, siendo asimilado a otras profesiones jurídicas (abogados, notarios, etc.), lo que significa que después de tener 5 años de experiencia, podrán participar en el proceso de selección para ser nombrados. como juez o fiscal.
Asimismo, la Autoridad Fiscalizadora aumentará el número de sus integrantes y el Proyecto de Ley expresa expresamente que pondrá a disposición los recursos humanos, técnicos y financieros, las instalaciones y la infraestructura necesaria para el desempeño efectivo de sus funciones y el ejercicio de sus competencias.
Fortalecimiento del control y sanciones
Artículo 58 paraca. 6 del RGPD establece que cada Estado miembro puede disponer por ley que su autoridad de control tenga poderes adicionales a los referidos en el RGPD.
Por lo tanto, el proyecto de ley agrega algunas prerrogativas nuevas a la Autoridad de Supervisión. Cabe mencionar que algunas de estas nuevas disposiciones sólo son una mera copia de las disposiciones de la GDRP, agregando algunos cambios o referencias en qué circunstancias se ejercerán las funciones de la Autoridad de Control.
Sin embargo, este artículo se centrará en aquellos poderes que no están incluidos en el RGPD. Por ejemplo, la Autoridad de Supervisión está autorizada a realizar controles sin previo aviso y a obtener del operador cualquier información y documentos independientemente del soporte de almacenamiento. La Autoridad está autorizada a realizar copias, así como a verificar cualquier equipo o cualquier soporte de almacenamiento de datos. También puede ordenar la realización de un peritaje e incluso escuchar a personas cuyas declaraciones se consideren relevantes y necesarias para la investigación.
Si el operador se niega a proporcionar la información o los documentos solicitados oa participar en la investigación, puede estar sujeto a una multa de 3000 RON por día de retraso. Además, la resolución dictada por la Autoridad Fiscalizadora, en este sentido, se considera un auto de ejecución, en consecuencia, el proceso de ejecución puede iniciarse de inmediato, sin la intervención del tribunal.
Procedimiento de quejas de protección de datos
El derecho a presentar una denuncia ante la Autoridad de Control se reconoce también al cónyuge y a los familiares hasta segundo grado (padres, hijos, abuelos y nietos) de la persona que considere vulnerados sus derechos en virtud de este RGPD.
En la resolución de la denuncia, la Autoridad de Control realizará un análisis de dos pasos: (i) en primer lugar, sobre la admisibilidad, y posteriormente informará al denunciante en un plazo de 30 días sobre su resultado, (ii) y en segundo lugar, analizará la denuncia sobre el fondo y actualizar al demandante en un plazo de 3 meses sobre el estado de la investigación. En los casos en que la Autoridad de Control no cumpla con las obligaciones anteriores, el denunciante tendrá derecho a interponer una acción ante el tribunal administrativo.
Si después del análisis de la denuncia, la Autoridad de Supervisión concluye que se han infringido los derechos del denunciante y solo un tribunal de justicia puede proporcionar una reparación, la Autoridad de Supervisión tiene derecho a actuar en nombre del denunciante en el tribunal, quien ratificará o no la acción.
De lo anterior, se muestra claramente que Rumania se está enfocando principalmente en el estatus y los poderes de la Autoridad de Supervisión y menos en los derechos de las personas físicas con respecto al procesamiento de datos personales, incluso si, de acuerdo con el GDPR, los Estados miembros tienen la posibilidad adoptar disposiciones adicionales a este respecto, por ejemplo introduciendo condiciones adicionales, incluidas limitaciones, en cuanto al tratamiento de datos genéticos, datos biométricos o datos relacionados con la salud.
Dado que el proyecto de ley en su forma actual puede sufrir cambios adicionales, el lector debe estar preparado para cambios adicionales. También deben asegurarse ahora de que comprenden completamente las disposiciones del GDPR en lo que respecta a su negocio en Rumania, que puede ser diferente para otras jurisdicciones.