Esta nueva normativa está diseñada para dar a los ciudadanos europeos un mayor control sobre su información privada frente al poder de las grandes empresas tecnológicas.
El Diario Oficial de la Unión Europea ha publicado el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos, por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Paralelamente a esto, también se han publicado dos directivas: la 2016/680 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo; y la 2016/681 relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave.
De esta forma, el nuevo reglamento ha sido desarrollado para dar a los ciudadanos europeos un mayor control sobre su información privada en un mundo dominado por la tecnología; así como para mejorar la seguridad en cuanto a la legislación para las empresas que operan dentro de la Unión Europea, con el fin de impulsar la innovación y el desarrollo futuro del mercado único digital, y también se aplicará a las empresas fuera de Europa que se dirijan a los consumidores de la Unión Europea.
Aunque la nueva normativa ya está publicada, los países miembro, entre ellos España, tendrán un plazo de dos años para trasladarla a su legislación nacional, de modo que los cambios no empezarán a apreciarse plenamente hasta 2018. El primero y más evidente supone la armonización de criterios en cuanto a la aplicación y garantía de los derechos de los ciudadanos europeos en materia de privacidad y protección de datos. A esto le sigue la inclusión del derecho al olvido, que permite la rectificación o supresión de datos personales, y del derecho a la portabilidad de esos datos de una empresa a otra. Además, la nueva normativa apuesta por un enfoque preventivo en lugar de sancionador, incide en la privacidad desde el diseño, en las evaluaciones de impacto y códigos de conducta, y crea la figura del DPO (Data Protection Officer).
Asimismo, incorpora una nueva regulación de los mecanismos de supervisión y control, de tal forma que las autoridades nacionales tendrán la competencia de autorizar previamente los flujos de datos antes de que éstos se produzcan y no sólo después de que haya vulneraciones de la normativa. Y finalmente, crea un Consejo Europeo de Protección de Datos, que estará formado por los representantes de cada una de las 28 autoridades de control independientes y tendrá la capacidad de adoptar decisiones jurídicamente vinculantes.