El Reglamento 2016/679 del Parlamento y el Consejo ha pasado a ser la norma más relevante del acervo jurídico de la Unión Europea en materia de protección de datos personales. Mediante esta norma se refuerza asimismo la libre circulación de los datos en el ámbito geográfico de la UE y de los ciudadanos que residan en la Unión, en determinadas circunstancias. El Reglamento pretende ser un paso adelante en materia de protección de los datos personales como expresión de parte de los derechos y libertades fundamentales de los ciudadanos.

Al tratarse de un Reglamento es una norma de aplicación directa, es decir que no requiere transposición a los derechos internos de los Estados miembro. Sin perjuicio de ello, se prevé la posibilidad de promulgar regulaciones sectoriales en aquellos ámbitos expresamente previstos en el Reglamento.

El Reglamento 2016/679 no introduce grandes modificaciones en los principios que rigen el tratamiento de datos personales respecto a la Ley 15/1999, sobre protección de datos de carácter personal. Sin embargo, cabe reseñar el refuerzo de los principios de transparencia en el tratamiento de los datos personales y de minimización de datos, como corolario del principio de calidad del dato. Uno y otro imponen al responsable del tratamiento un deber reforzado de tomar la iniciativa en el cumplimiento o puesta en práctica de uno y otro principio, y le exigen asimismo disponer las medidas adecuadas para acreditar llegado el caso dicho cumplimiento.

Así, las condiciones o presupuestos determinantes de la licitud del tratamiento de datos que informaban la Ley 15/1999 se mantienen en grandes líneas y es preciso contar con el consentimiento libre e informado del titular. No obstante, el Reglamento introduce algunas precisiones y regula con mayor detalle y exigencia la forma de recabar (y, más aún, acreditar) dicho consentimiento.

El Reglamento aclara y desarrolla la definición del interés legítimo en cuanto base jurídica para el tratamiento de los datos, poniendo dicho interés en relación con los intereses o los derechos y libertades del interesado. Para proteger a dicho interesado, el Reglamento implanta y define toda una serie de obligaciones para el responsable del tratamiento que se desprenden de lo que la norma define como “principio de responsabilidad proactiva”. Este principio da lugar a un nuevo modelo para el control de la medida en que se cumple la norma.

El tratamiento de datos ha de seguir principios de transparencia, limitación de la finalidad, minimización de datos, exactitud y temporalidad. Para salvaguardarlos se diseñan sistemas que facilitan la prueba de cumplimiento normativo, cuya exigencia reforzada deberá ser objeto de atención por parte de los responsables en la materia, a quienes el Reglamento da igualmente directrices para garantizar el respeto a los principios del tratamiento de datos.