Claves para el cumplimiento del nuevo reglamento
En abril de 2016 se aprobó el Reglamento (UE) 2016/679 del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DOUE 4.5.2016).
Esta nueva regulación, que por primera vez se hace a través de un reglamento europeo, comportará cambios significativos en la protección de datos de carácter personal, tanto desde el punto de vista de los derechos de las personas, como de las obligaciones de las personas y entidades que tratan datos de carácter personal.
Después de un periodo de adaptación que ha durado 2 años, el próximo día 25 de mayo acaba el plazo para adaptarse al Reglamento General de Protección de Datos (RGPD).
La normativa europea endurece las sanciones por los incumplimientos de su articulado, y todo autónomo o pyme que esté en contacto con datos personales está obligado a regirse por su mandato.
Si no quieres enfrentarte a sanciones que pueden llegar a los 20 millones de euros, atentos a este artículo.
No solo las grandes organizaciones recaban datos a diario que hay que saber gestionar y tratar, también autónomos y pymes tratáis a diario con este tipo de información.
Lo hacéis cuando abrís fichas con los datos de vuestros clientes, cuando pedís vía telefónica información personal o cuando solicitáis la identificación de un cliente en vuestra página web.
A partir del día 25 de mayo estáis obligados al cumplimiento del RGPD todas las empresas, sociedades, autónomos, comunidades, asociaciones y administraciones públicas de los Estados miembro, obviamente, también las españolas.
PRINCIPIOS
El RGPD contiene muchos conceptos, principios y mecanismos similares a los establecidos por la Directiva 95/46 y por las normas nacionales que la aplican.
Por ello, las organizaciones que en la actualidad cumplen adecuadamente con la LOPD española tienen una buena base de partida para evolucionar hacia una correcta aplicación del nuevo Reglamento.
Sin embargo, el RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.
Dos elementos de carácter general constituyen la mayor innovación del RGPD para los responsables:
• El principio de “responsabilidad proactiva”
El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.
A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
• El “enfoque de riesgo”
El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas.
De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.
La aplicación de las medidas previstas por el RGPD debe adaptarse, por tanto, a las características de las organizaciones.
Lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado no es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.
Estos dos elementos se proyectan sobre todas las obligaciones de las organizaciones.
CLAVES PARA EL CUMPLIMIENTO DEL NUEVO REGLAMENTO.
1. El consentimiento, aceptación afirmativa
Este principio cambia, ahora el consentimiento debe ser una manifestación que conlleve una aceptación inequívoca del usuario, ya sea mediante una declaración o a través de una acción afirmativa.
El silencio, no se considera ya positivo, el consentimiento tácito desaparece.
Asimismo, las casillas premarcadas bajo ningún concepto serán formas válidas de obtención de consentimiento.
2. Privacidad desde el diseño y por defecto
Desde el planteamiento inicial de un proyecto se debe pensar si éste tiene implicaciones en materia de protección de datos.
Detección temprana de posibles tratamientos que impacten sobre los datos de carácter personal.
Visión conjunta y acciones coordinadas entre áreas jurídicas, organizativas, de negocio e IT.
3. Análisis del Riesgo
Nace la obligación de realizar Evaluaciones de Impacto en materia de protección de datos.
Desaparecerán los niveles de seguridad actualmente conocidos (básico, medio y alto).
Ahora las medidas irán según el resultado de las evaluaciones, en función del riesgo a gestionar, que obligará a implantar mecanismos y procedimientos para proteger los datos.
4. Registro de las actividades de tratamiento
Con el RGPD no será necesario inscribir ficheros en el Registro General de Protección de Datos, por el contrario, las organizaciones deberán disponer de un registro interno de los distintos tratamientos de datos personales que llevan a cabo.
5. Notificación de una violación de la seguridad
Se deberán notificar a las autoridades de protección de datos, en el caso de España a la Agencia Española de Protección de Datos, las brechas de seguridad, en un plazo máximo de setena 72 horas.
6. Nuevos derechos para los interesados
Seguirá la obligación de atender los derechos que ya conocemos, el acceso, la rectificación, la cancelación, que ahora se denomina supresión, la oposición; a los que se añaden dos nuevos, el de la limitación del tratamiento y la portabilidad de los datos.
El responsable del tratamiento está obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes desde la recepción de la misma.
7. Delegado de protección de datos
Será obligado disponer de un DPO cuando el tratamiento lo realice una autoridad u organismo público (excepto juzgados y tribunales).
Cuando el tratamiento requiera la observación habitual y sistemática de datos a gran escala;
Cuando el tratamiento tenga por objeto categorías especiales de datos personales.
Fuera de los supuestos enumerados por las Ley, queda al arbitrio del responsable contar con un DPO.
8. Mayor nivel de información y transparencia
A la identidad del responsable, los fines de tratamiento y la información sobre el ejercicio de derechos, se sumarán los datos de contacto del delegado de protección de datos, los intereses legítimos del responsable o de un tercero; en su caso, la intención de transferir datos personales, el plazo durante el cual se conservarán los datos personales, la existencia de los nuevos derechos de los interesados, la existencia de decisiones automatizas, como por ejemplo, la elaboración de perfiles.
9. Ventanilla única
Permitirá a cualquier ciudadano presentar una reclamación ante la autoridad de protección de datos del lugar donde resida, independientemente del domicilio de la sede de la empresa denunciada.
10. Nuevo régimen sancionador
Incrementan sustancialmente las sanciones por incumplimiento.
Multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía en casos de incumplir de los principios básicos, incluidas las condiciones para el consentimiento y tratamiento de datos especiales, derechos de los interesados y garantías para la transferencia de datos.
Una forma molt personal d’entendre les empreses i els emprenedors
Llav@-neres
Assessoria i Gestió