FLASH MERCANTIL – Entrada en vigor del nuevo Reglamento Europeo de Protección de Datos: ¿Estamos realmente preparados?
ENTRADA EN VIGOR DEL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS: ¿ESTAMOS REALMENTE PREPARADOS?
Lleva tiempo anunciándose y estamos a las puertas, después del transcurso de los dos años dispuestos para que las empresas y entes públicos se adaptaran a la norma: a partir del día 25 de mayo de 2018 será aplicable el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“RGPD” o “Reglamento”).
La entrada en vigor del Reglamento supone un claro cambio de paradigma: desde este viernes se homogeniza la regulación de la protección de datos a nivel europeo. A partir de entonces el sistema pasará a basarse en la responsabilidad activa, sistema que traslada a los responsables y encargados del tratamiento la obligación de valorar qué medidas resultan oportunas para garantizar ante cualquier tratamiento de datos los derechos que el Reglamento otorga a los titulares de esos datos. El cambio es sustancial, ya que supone la concienciación de toda la población de que los datos personales son propiedad de su titular y que, por tanto, éstos no pueden recogerse sin informar y recabar su consentimiento para la realización de todas las acciones que quieran realizarse con los mismos, empoderando a los titulares a ejercitar sus derechos en el caso de que ocurra cualquier vulneración.
La protección de datos es un concepto creado para la salvaguarda de los datos que permiten identificar a una persona física. Estos datos incluyen: nombre, apellidos, e-mail, domicilio personal, fecha y lugar de nacimiento, DNI, voz e imagen, firma manuscrita y electrónica, tarjeta sanitaria, huello y otros datos biométricos, número de teléfono, direcciones IP, matrículas de vehículos, marcas y características físicas, entre otros.
En España se configura como un derecho fundamental que reconoce al ciudadano la facultad de controlar sus datos personales y la capacidad para disponer y decidir sobre los mismos. La Constitución Española refleja este Derecho en su artículo 10, relativo a la dignidad de las personas y en su artículo 18.4, en el cual se dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
El RGPD constituye el principio de una modificación integral de la normativa de protección de datos: la norma implica la derogación de la Directiva 95/46/CE que establecía hasta el momento el marco inspirador en el que cada uno de los Estados Miembros de la Unión Europea basaría sus normas correspondientes a la protección de datos. En España su transposición resultó en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal («LOPD«) y su correspondiente reglamento de desarrollo, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD. No obstante, en relación con la normativa nacional, no se produce la derogación automática, sino simplemente quedará relegada a un segundo plano con la entrada en vigor del RGPD. El Reglamento constituye una norma europea creada para ser directamente aplicable en todos los Estados Miembros y, por tanto, se aplica con carácter prioritario sobre la normativa nacional.
Los próximos pasos para la completa adaptación normativa les corresponden a los Parlamentos de los Estados Miembros, quienes deben acordar las modificaciones oportunas sobre la normativa vigente para evitar posibles confrontaciones con las previsiones del RGPD. Con este fin, el Parlamento español se encuentra actualmente desarrollando el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal (“Proyecto”), normativa mediante la cual derogará la LOPD y su reglamento complementario e introducirá un nuevo marco de desarrollo para las medidas de protección de datos de conformidad con lo establecido en el RGPD.
De momento parece ser que la Agencia Española de Protección de Datos (“AEPD”) continuará siendo el organismo de referencia supervisor del cumplimiento de la nueva normativa en España, siendo también la encargada de llevar a cabo las tareas de concienciación de la población. Para ello, la AEPD esta publicando a través de su página web una serie de guías y herramientas para la aplicación de esta normativa y así facilitar a empresarios y autónomos la identificación de las medidas a adoptar para dar cumplimiento a esta nueva regulación.
Describimos a continuación los cambios más significativos:
- El cambio al sistema de responsabilidad activa de los responsables y encargados del tratamiento, convirtiendo así a todos los destinatarios de la norma en colaboradores implicados. Como se ha indicado antes, esto implica el análisis previo de cualquier tratamiento y la consiguiente adopción de las medidas que se consideren adecuadas para garantizar el cumplimiento de todos los requisitos establecidos por el marco regulatorio, responsabilizando a la empresa incluso de la selección de terceros proveedores. La realización de este ejercicio deberá llevarse a cabo desde la perspectiva del interés del titular de los datos y no desde la perspectiva del interés de la compañía.
- La obligación de recabar el consentimiento específico, informado e inequívoco para el tratamiento de cualquier dato de carácter personal, indicándose previamente como mínimo: las finalidades del tratamiento, los destinatarios de la información (identificación del responsable y del encargado en caso de cesión o transferencias internacionales de datos), el plazo o los criterios de conservación de los datos, en su caso, la indicación de si existen decisiones automatizadas o elaboraciones de perfiles y la eventual existencia de un Delegado de Protección de Datos, el carácter obligatorio y facultativo de las respuestas a las preguntas planteadas y las implicaciones, la posibilidad de ejercer los derechos del titular y el derecho a presentar una reclamación ante la AEPD.
- A los derechos de los titulares popularmente conocidos como ARCO, que son los de acceso, rectificación, cancelación (a partir de ahora también conocido como Derecho al olvido) y oposición, se añaden los de limitación, referente a la imposibilidad de hacer uso de los datos para finalidades de las que no se haya informado, y el de portabilidad de los datos que se refiere a que el interesado tiene derecho a obtener una copia de los datos que haya facilitado.
- Las Administraciones Públicas y las empresas del sector privado que realicen tratamientos que requieran de una observación habitual o sistemática de las personas, o bien traten datos especialmente protegidos (ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual), deberán nombrar un Delegado de Protección de Datos (conocido como DPO). Esta figura podrá estar representada por una persona interna o externa a la empresa, resultando preciso que la persona encargada de esta función tenga conocimientos jurídicos y prácticos en materia de protección de datos y no se encuentre en ningún conflicto de interés.
- Estarán obligadas a mantener un registro de actividades de tratamiento que indique el origen de los datos, las categorías de los datos (empleados, clientes, proveedores, imágenes…), los ficheros o soportes en los que se contienen, la identificación de las comunicaciones de los datos, el tiempo de conservación y el modo de destrucción de los mismos, aquellas empresas que empleen a más de 250 trabajadores o bien, pese a emplear un número menor de ellos, realicen un tratamiento de los datos que pueda entrañar un riesgo para los derechos y libertades de los interesados o incluyan las categorías de datos especialmente protegidos.
- Se introduce un nuevo régimen para las sanciones monetarias, dónde se clasifican en dos tipologías distintas en función de la gravedad: las menos graves se sancionarán con hasta 10 millones de euros o el 2% del volumen de la facturación anual de la empresa (aplicando la más alta de las dos) mientras que las más graves se sancionaran con multas que pueden alcanzar hasta los 20 millones de euros o el 4% del volumen de la facturación anual de la empresa (aplicando también, el número más alto de los dos).
- El RGPD también prevé la posibilidad de que en algunos casos la sanción económica pueda ser sustituida por el apercibimiento: esto implicará la obligatoriedad de la empresa de adoptar las medidas correctoras que se indiquen por parte del organismo de referencia de cada país.
- Asimismo, cabe tener en cuenta que el RGPD prevé la posibilidad de que el afectado por la divulgación de sus datos pueda interponer la correspondiente reclamación judicial en reclamación de los daños y perjuicios.
Podemos concluir que los grandes cambios que hay en relación con la normativa vigente hasta el momento son (i) el cambio en la responsabilidad, limitada hasta el momento en el cumplimiento de cuanto se indicaba en la LOPD; (ii) la innecesaridad de inscribir los ficheros de protección de datos en la AEPD; (iii) la imposibilidad de recabar el consentimiento para el tratamiento de los datos de manera tácita y (iii) el hecho de que deja de ser obligatorio, aunque sigue siendo recomendable su tenencia y actualización, la tenencia de un documento de seguridad.
Como hemos indicado anteriormente, los cambios que marca el Reglamento constituyen sólo el principio del cambio normativo que concluirá con la entrada en vigor del nuevo Proyecto. De momento, todo cuanto tenemos son las directrices de aplicación y habrá que ver el alcance final de cada una de las obligaciones.
Si está interesado en leer el artículo completo, puede descargarse el archivo PDF desde aquí.
Comentarios desactivados