DATAX INFORMA SOBRE EL NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS
20 junio, 2017Tras un proceso de trabajo prolongado durante cuatro años, y sustituyendo a una normativa, aprobada en 1995, que, claramente, ha quedado obsoleta debido al avance de las nuevas tecnologías y la generalización de su uso y de sus peligros, se ha publicado el 14 de abril de 2016 el nuevo Reglamento Europeo de Protección de Datos para adecuar la normativa en protección de datos a las circunstancias actuales.
Esta adecuación supone mayor control sobre nuestros datos personales, mayor seguridad y un incremento de la información. También existen ventajas para las administraciones, empresas, entidades y profesionales debido a que hay más soporte, una mayor rapidez en las gestiones burocráticas y mayor agilidad en la exportación de datos a otros países, entre otros aspectos.
Ha entrado en vigor el 25 de mayo del 2016 y establece un plazo de adaptación de dos años, hasta mayo de 2018. Entonces deberemos cumplir con estos requerimientos y, para ello, debemos ir adaptándonos poco a poco a los requisitos establecidos por esta normativa.
El nuevo Reglamento Europeo de Protección de Datos personales pretende consolidar una verdadera cultura de privacidad en nuestro tejido empresarial con la finalidad de proteger eficientemente los datos personales de todos los ciudadanos europeos. Lo que hasta ahora era simplemente una obligación legal deberá convertirse en una práctica habitual que tenga el objetivo de proteger los datos personales y posibilite a las personas que los ceden para su tratamiento el ejercicio de sus derechos para el control de los mismos.
El porqué de este nuevo Reglamento
Este Reglamento es el resultado de varios años de debate entre los diferentes organismos, instituciones y actores –gobiernos, las autoridades de protección de datos europeas y las empresas– quienes, debido al incesante avance de las nuevas tecnologías en las últimas décadas, han debido regular más en detalle (en virtud de sus competencias) aspectos que se derivan de dicha evolución tecnológica, como son la privacidad y la protección de datos.
En la actualidad, la popularización del uso de Internet y las redes sociales, el análisis avanzado de datos o el auge del Internet de las Cosas, entre otros factores, han cambiado totalmente la manera en la que usuarios y empresas se comunican entre ellos y las formas de comprar y relacionarse ya no tienen nada que ver con las de los años 90. En consecuencia, el nuevo Reglamento quiere sentar las bases de una normativa de privacidad que se adecúe a la tecnología hoy presente.
¿Qué impacto tiene este nuevo Reglamento?
Este Reglamento no deroga automáticamente la anterior Directiva, precisamente porque se trata de un Reglamento, y no de una nueva Directiva, por lo que tan sólo modifica o regula ciertos aspectos. En consecuencia, tampoco elimina la ley nacional aprobada por la LO 15/1999, de 13 de diciembre; ni su reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, sino que se otorga un plazo de 2 años desde su entrada en vigor para que las empresas se adapten a los nuevos cambios que introduce. Eso sí, seguramente surgirán otras normas con un rango inferior a nivel nacional que regularán los detalles que no contempla el Reglamento, sin contradecirlo.
Se debe tener en cuenta que este Reglamento será de aplicación no sólo a las empresas o profesionales responsables o encargados del tratamiento de datos, y con domicilio social en Europa, que presten servicios a ciudadanos europeos, sino que se amplía a empresas o profesionales con domicilio social fuera de la UE, y que realicen tratamiento de datos como consecuencia de su oferta de bienes o servicios destinados a ciudadanos europeos.
El Reglamento establece 2 tipos de sanciones según la infracción: 10 millones € máximo o 2% máximo del volumen total anual global del ejercicio financiero anterior en el caso de infracciones de medidas de seguridad, consentimiento menores, etc. 20 millones € máximo o 4% máximo del volumen total anual global del ejercicio financiero anterior en el caso de infracciones de principios básicos del reglamento europeo como son la obtención del consentimiento, la licitud de los tratamientos, etc.
La graduación de las sanciones es muy amplia y el Reglamento otorga un amplio margen de maniobra a las autoridades de control, estableciendo que las multas se podrán imponer en función de cada caso individual, según circunstancias como son la intencionalidad, negligencia, medidas para paliar daños, cooperación, tipología de datos afectados, etc.
El reglamento recuerda además, que no sólo la persona afectada podrá optar por denunciar ante la autoridad de control sino que además le otorga un derecho a indemnización cuando haya sufrido daños y perjuicios por parte del responsable o del encargado de tratamiento. Si bien dichos daños se deberán de probar, y seguramente se judicializarán, si antes no estaba claro la posibilidad de solicitar la misma, ahora se tiene vía directa para solicitarla.
Nueva figura del Delegado de Protección de datos (DPO)
El reglamento introduce la figura del delegado de protección de datos, que será designado por el responsable y el encargado del tratamiento. Dicha figura será obligatoria cuando ocurra una de las siguientes circunstancias:
- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.
El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados en derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones que determina el reglamento.
El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios. Asimismo el DPO podrá ser de carácter externo, mediante contrato de prestación de servicios. Los datos de contacto, una vez nombrado, deberán ser publicados y comunicados a la Autoridad de Control, en nuestro caso, La Agencia Española de Protección de Datos y para Administraciones Públicas, la autonómica donde exista.
En cuanto a las funciones del delegado, destacan el asesoramiento general dentro de la compañía en todo lo relativo a la protección de datos personales, la supervisión del cumplimiento de la legislación y las políticas de privacidad, la elaboración de informes de evaluación de impacto de ciertos tratamientos de datos personales y la cooperación con las autoridades de control nacionales.
Beneficios del correcto cumplimiento
- Evitar importantes sanciones que provienen habitualmente de denuncias de nuestro entorno (clientes descontentos, competencia desleal, robos, descuidos o negligencias internas, pérdidas de datos/información…). Estas sanciones que actualmente varían dependiendo del grado de infracción (900 a 600.000 €), con el nuevo Reglamento Europeo de Protección de Datos pueden llegar hasta un máximo de 20 millones de €.
- Reforzar la Imagen Empresarial. Una correcta política de confidencialidad refuerza nuestra imagen de marca ante clientes potenciales y fideliza a los habituales, proyectando valores como la ética profesional, el rigor y respeto de los derechos fundamentales de nuestros clientes, proveedores y colaboradores.
- Aumentar nuestra capacidad de reacción ante pérdidas de datos por virus, robos, fugas de datos o usurpación de identidad con intenciones fraudulentas.
- Preservar la Seguridad Informática ante el alto riesgo que conlleva el mal uso de las nuevas tecnologías (correo electrónico, internet…).
- Delimitar las responsabilidades por mal uso de terceros (servicios externos subcontratados, como, por ejemplo, proveedor de informática, gestoría…).
DATAX ya ha desarrollado una metodología para adaptar a las empresas al Reglamento (UE) 2016/679 de 27 de abril de 2016 (GDPR), que será de aplicación obligatoria en todos los Estados de la UE a partir del 25 de mayo de 2018.