Estamos empezando a recibir consultas acerca de la aplicación del nuevo Reglamento General de Protección de Datos UE 2016/679 que unifica el tratamiento de los datos personales en los 27 estados miembros de la Unión Europea. Con este artículo queremos daros unas aclaraciones que esperamos ayuden a entender el proceso en el que estamos inmersos en esta materia con ayuda de colaboradores.
En primer lugar, debemos indicar que el (RGPD) entró en vigor el 25 de mayo de 2016, dando de plazo de adaptación hasta el 25 de mayo de 2018, fecha a partir de la cual entraba en vigor la nueva legislación. Esto implica que hasta esta fecha, en España seguimos aplicando la normativa que aún tenemos en vigor (Ley 15/1999 y RD 1720/2007), y si bien es cierto que desde nuestra Agencia Española de Protección de Datos (AEPD) se ha recomendado ir haciendo adaptaciones (por ejemplo, en clausulado o en aplicación de medidas desde el inicio del desarrollo de una aplicación), la realidad es que los plazos finalizan en poco menos de dos meses y hay que darle solución, dado que el incumplimiento ahora vendrá marcado por lo siguiente:
El Reglamento recoge las condiciones para la imposición de multas administrativas, debido a infracciones de dicho Reglamento, en los artículos 83 y 84; además, el Proyecto de Ley Orgánica de Protección de Datos (pendiente de muy graves, graves y leves. El régimen sancionador no solo establece unos importes máximos según el tipo de infracción (a modo de ejemplo, sanción de 10.000.000 EUR o 20.000.000 EUR como máximo, según se trate de infracciones graves o muy graves), sino que incorpora un nuevo elemento para determinar la cuantía de la sanción, como es un porcentaje del volumen de negocio total anual global del ejercicio financiero anterior (ejemplo, 2% o 4% como máximo, según se determine infracción grave o muy grave). Entre ambos criterios se optará por el que suponga una mayor cuantía.
Respecto a las mejoras del Reglamento, en relación a la protección de las personas físicas con respecto al tratamiento de datos personales como derecho fundamental, se han aprobado nuevos e importantes cambios:
- Ficheros; no se exigirá la inscripción de ficheros en el registro de la Agencia, tal y como ahora los conocemos, pero sí deberá existir una descripción de todos los tratamientos de datos de carácter personal que se realizan en la empresa (qué datos se tratan, con qué finalidades y qué tipo de operaciones de tratamiento se llevan a cabo). Es decir, registro de actividades de tratamiento.
- Se implantará el procedimiento de análisis del riesgo, como paso previo al establecimiento de las medidas a aplicar. Este análisis deberá quedar documentado. En determinados casos será necesario realizar también una Evaluación de Impacto.
- Se amplía la información que debemos facilitar a las personas de las cuales tratamos datos de carácter personal: el clausulado (por ejemplo, especificando el tiempo durante el cual conservaremos sus datos, justificando el motivo que lleva al tratamiento – legislación, contrato, etc.). Además, se debe garantizar que la información sea transparente, clara y accesible.
- Obligación de que el consentimiento solicitado al interesado requiera de una acción afirmativa (no siendo válido el consentimiento tácito o por omisión).
- Obligación de comunicar al interesado cuando una brecha de seguridad ha comprometido sus datos, en determinadas circunstancias.
- Se incrementa la vigilancia que debe observarse a la hora de contratar a un proveedor de servicios, que tratará datos por cuenta de nuestra empresa. Es decir, requerirá que la entidad contrate únicamente con prestadores de servicios que ofrezcan garantías suficientes para aplicar las medidas técnicas y organizativas.
- Surgen nuevos derechos; el derecho a la portabilidad (trasladar los datos de un proveedor de servicios a otro) y derecho al olvido, además de acceso, rectificación, cancelación y oposición, que ahora conocemos.
- Surge una nueva figura, el Delegado de Protección de Datos.
- Se añaden nuevos principios, como el de rendición de cuentas, que atañen a las responsabilidades de las entidades en la implantación de mecanismos que permitan garantizar el cumplimiento de sus obligaciones respecto a la protección de datos.
Jorge Rodríguez
Socio Responsable de Asesoría de Algalia S. Coop. Galega