8 ASPECTOS CLAVE PARA ADECUAR UNA COMPAÑÍA AL NUEVO REGLAMENTO GENERAL EUROPEO DE PROTECCIÓN DE DATOS

8 ASPECTOS CLAVE PARA ADECUAR UNA COMPAÑÍA AL NUEVO REGLAMENTO GENERAL EUROPEO DE PROTECCIÓN DE DATOS

Han pasado ya 2 años desde que el Reglamento General de Protección de Datos (“RGPD”) fue aprobado y publicado en el Diario oficial de la Unión Europea y ahora nos hallamos ante su inminente aplicabilidad (25 de mayo de 2018). Ésta ha sido la reforma más significante de los últimos 20 años debido a que remplazará la existente Directiva Europea promulgada en 1995. Cuesta creer que una regulación con una esencia fundamentalmente digital haya tardado tanto en ser reformada, pero el cambio no ha sido fácil debido a la enorme cantidad de stakeholders (grupos de interés) que han intervenido en el proceso hasta llegar a un consenso.

En este contexto encontramos que, pese los constantes esfuerzos de las correspondientes autoridades competentes en materia de protección de datos para informar y sensibilizar a los afectados, son pocas las compañías que han adoptado las medidas necesarias para estar en cumplimiento con este nuevo texto normativo. ¿Cómo afectan realmente estos cambios a las compañías domiciliadas dentro y fuera de la Unión Europea (“UE”)?

 

Protección Datos Abogado LOPD

Protección Datos Abogado LOPD

  1. Aplicabilidad extraterritorial

Uno de los mayores cambios que observamos en el panorama regulatorio de la privacidad es la aplicación de la extraterritorialidad que contempla el Reglamento. Éste será aplicable a las compañías que traten datos personales de sujetos que residan en la Unión Europea, independientemente de que el responsable o encargado esté, o no, establecido en la UE. La anterior redacción señalada en la Directiva Europea era ambigua y ha sido causa de numerosos litigios al respecto: se hablaba de “utilizar medios ubicados en un Estado miembro”. Por el contrario, el RGPD es claro y conciso al respecto; se aplicará el tratamiento de datos personales de interesados que residan en la UE por parte de un responsable o encargado no establecido en la UE, cuando las actividades de tratamiento estén relacionadas con:

  • La oferta de bienes o servicios a dichos interesados en la UE, o
  • El control de su comportamiento, en la medida en que éste tenga lugar en la UE.
  1. Sanciones más significativas

En materia de sanciones, en virtud del RGPD, las compañías que cometan una infracción podrán ser multadas con hasta 20 millones de euros o hasta un 4% de su facturación anual (el importe que resulte mayor). Esta sanción, obviamente, responde al importe máximo imponible en caso de una infracción catalogada como muy grave, como podría ser el tratamiento y venta de datos personales sin ningún tipo de consentimiento por parte del afectado. Es importante subrayar que ello afecta tanto a los encargados como los responsables, lo que significa que cualquier prestador de servicios en “la nube” no estará exento de dicha aplicación. 

  1. Consentimiento reforzado

Las condiciones del consentimiento se han reforzado trayendo como consecuencia que las compañías no puedan seguir utilizando interminables textos de términos y condiciones llenos de tecnicismos jurídicos y palabras rimbombantes. Los textos deben ser claros, concisos y redactados con un lenguaje plano. Por su parte, el consentimiento del afectado debe ser inteligible, informado y de fácil acceso, con la finalidad del tratamiento totalmente determinada. El consentimiento debe ser tan fácil de prestar como de retirar y hay que olvidar cualquier mecanismo basado en el consentimiento por omisión (como la “demasiado común” casilla marcada por defecto).

  1. Notificación de brechas de seguridad

Hasta la fecha, en caso de que una compañía detectara un incidente en materia de privacidad, ésta no tenía una obligación expresa de notificar a la autoridad competente, lo que comportaba que muchas empresas, ante una brecha en su seguridad que hubiera podido comprometer los datos almacenados, optaran por no notificarla a la autoridad ni a los afectados y cruzar los dedos para que no tuviera consecuencias relevantes.

Esta conducta descrita es inconcebible bajo el nuevo RGPD, el cual establece como obligación la notificación de cualquier incidente a:

  • La autoridad competente de protección de datos: El responsable debe notificarlo a la autoridad de control en un plazo máximo de 72 horas, a menos que sea improbable que constituya un riesgo para los derechos y libertades de las personas afectadas.
  • Los interesados: El responsable deberá notificarlo sin dilaciones indebidas y en lenguaje plano excepto si se hubieran tomado las medidas de protección adecuadas y no hubiera un riesgo para los intereses del afectado. 
  1. Derecho al olvido

El derecho al olvido tuvo una fuerte repercusión mediática después de que el Tribunal de Justicia de la Unión Europea hiciera pública en 2014 la sentencia que establecía que los motores de búsquedas estaban sometidos a las normas de protección de datos y que las personas tenían derecho a solicitar, bajo determinadas condiciones, que su información no fuera indexada por éstos. En consonancia con ello, el RGPD establece el derecho al olvido como un derecho por el cual los interesados pueden obtener la supresión de sus datos siempre y cuando se cumplan unos requisitos tasados.   

  1. Derecho de portabilidad

Este nuevo derecho del interesado consiste en la capacidad de una persona para solicitar y recibir de una compañía todos los datos personales que le afecten y que ésta haya facilitado para transmitirlos a otro responsable. Incluye el derecho de que los datos se transmitan de manera directa de un responsable a otro cuando ello sea técnicamente posible.

  1. Privacidad desde el diseño y por defecto

Privacidad desde el diseño y por defecto es un concepto que ha existido desde hace años, pero solo ahora empezará a constituirse como una obligación legal debido a la entrada en vigor del RGPD. En esencia, lo que las instituciones europeas pretenden lograr con este nuevo principio es incluir la protección de datos de una manera efectiva, procurando que el responsable del tratamiento aplique medidas técnicas y organizativas adecuadas según las características intrínsecas que lo definan. Pese a que el anterior precepto pueda sonar ambiguo, el uso de los datos dista muchísimo de una compañía a otra debido, entre otros, a su casuística. Por ello, no tiene sentido hablar de parámetros puramente objetivos, sino de medidas específicas según el supuesto concreto.

  1. Delegado de Protección de Datos y supresión de la notificación de ficheros

Actualmente, las compañías encargadas de tratamiento están obligadas a notificar los ficheros a las correspondientes autoridades locales en materia de protección de datos. Para las multinacionales, ello suele suponer un infierno burocrático teniendo en cuenta la disparidad de requisitos formales que cada uno de los estados miembros puede imponer bajo su jurisdicción. A tenor de la nueva normativa, ya no será necesario efectuar las citadas notificaciones a cada autoridad local, pero el reglamento introduce la necesidad de llevar un control interno. También introduce como novedad la figura del delegado de protección de datos (“DPD”), figura que deberá designarse solo en determinadas circunstancias como: (i) Cuando el tratamiento lo realice una autoridad u organismo público, (ii) cuando el tratamiento requiera la observación habitual y sistemática de interesados a gran escala o (iii) cuando el tratamiento tenga por objeto datos relativos a condenas e infracciones penales. Las principales características del DPD son:

  • Deberá ser nombrado atendiendo a sus cualidades y conocimiento respecto a la materia de protección de datos.
  • Podrá ser un trabajador interno de la compañía o un prestador de servicios externo.
  • Su información de contacto deberá ser notificada al correspondiente organismo competente en materia de protección de datos. Actuará como punto de contacto.
  • Deberá tener total autonomía en el ejercicio de sus funciones y acceso a todas las instancias necesarias para el desarrollo de su actividad.
  • Deberá reportar directamente al órgano de administración jerárquicamente superior en la compañía.

He querido resaltar estos 8 aspectos clave del nuevo Reglamento como las más relevantes, pero no son, ni mucho menos, todas las novedades que la aplicabilidad del RGDP supondrá para una compañía a partir de mayo. No dudéis en contactarme para cualquier duda o en dejarme un comentario con cualquier contribución al respecto.

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *