Estamos a empezar a recibir consultas acerca da aplicación do novo Regulamento Xeral de Protección de Datos UE 2016/679 que unifica o tratamento dos datos persoais nos 27 estados membros da Unión Europea. Con este artigo queremos darvos unhas aclaracións que esperamos axuden a entender o proceso no que estamos inmersos nesta materia con axuda de colaboradores.
En primeiro lugar, debemos indicar que o ( RGPD) entrou en vigor o 25 de maio de 2016, dando de prazo de adaptación ata o 25 de maio de 2018, data a partir da cal entraba en vigor a nova lexislación. Isto implica que ata esta data, en España seguimos aplicando a normativa que aínda temos en vigor (Lei 15/1999 e RD 1720/2007), e aínda que é certo que desde a nosa Axencia Española de Protección de Datos (AEPD) recomendouse ir facendo adaptacións (por exemplo, en clausulado ou en aplicación de medidas desde o inicio do desenvolvemento dunha aplicación), a realidade é que os prazos finalizan en pouco menos de dous meses e hai que darlle solución, dado que o incumprimento agora virá marcado polo seguinte:
O Regulamento recolle as condicións para a imposición de multas administrativas, debido a infraccións do devandito Regulamento, nos artigos 83 e 84; ademais, o Proxecto de Lei Orgánica de Protección de Datos (pendente de moi graves, graves e leves. O réxime sancionador non só establece uns importes máximos segundo o tipo de infracción (a modo de exemplo, sanción de 10.000.000 EUR ou 20.000.000 EUR como máximo, segundo trátese de infraccións graves ou moi graves), senón que incorpora un novo elemento para determinar a contía da sanción, como é unha porcentaxe do volume de negocio total anual global do exercicio financeiro anterior (exemplo, 2% ou 4% como máximo, segundo determínese infracción grave ou moi grave). Entre ambos os criterios optarase polo que supoña unha maior contía.
Respecto das melloras do Regulamento, en relación á protección das persoas físicas con respecto ao tratamento de datos persoais como dereito fundamental, aprobáronse novos e importantes cambios:
- Ficheiros; non se esixirá a inscrición de ficheiros no rexistro da Axencia, tal e como agora coñecémolos, pero si deberá existir unha descrición de todos os tratamentos de datos de carácter persoal que se realizan na empresa (que datos trátanse, con que finalidades e que tipo de operacións de tratamento levan a cabo). É dicir, rexistro de actividades de tratamento.
- Implantarase o procedemento de análise do risco, como paso previo ao establecemento das medidas para aplicar. Esta análise deberá quedar documentado. En determinados casos será necesario realizar tamén unha Avaliación de Impacto.
- Amplíase a información que debemos facilitar ás persoas das cales tratamos datos de carácter persoal: o clausulado (por exemplo, especificando o tempo durante o cal conservaremos os seus datos, xustificando o motivo que leva ao tratamento – lexislación, contrato, etc.). Ademais, débese garantir que a información sexa transparente, clara e accesible.
- Obrigación de que o consentimento solicitado ao interesado requira dunha acción afirmativa (non sendo válido o consentimento tácito ou por omisión).
- Obrigación de comunicar ao interesado cando unha brecha de seguridade comprometeu os seus datos, en determinadas circunstancias.
- Increméntase a vixilancia que debe observarse á hora de contratar a un provedor de servizos, que tratará datos por conta da nosa empresa. É dicir, requirirá que a entidade contrate unicamente con prestadores de servizos que ofrezan garantías suficientes para aplicar as medidas técnicas e organizativas.
- Xorden novos dereitos; o dereito á portabilidade (trasladar os datos dun provedor de servizos a outro) e dereito ao esquecemento, ademais de acceso, rectificación, cancelación e oposición, que agora coñecemos.
- Xorde unha nova figura, o Delegado de Protección de Datos.
- Engádense novos principios, como o de rendición de contas, que incumben ás responsabilidades das entidades na implantación de mecanismos que permitan garantir o cumprimento das súas obrigacións respecto da protección de datos.
Jorge Rodríguez
Socio Responsable de Asesoría de Algalia S. Coop. Galega