Puntos clave del Nuevo Reglamento General de Protección de Datos
El 25 de mayo de 2016 entró en vigor el nuevo Reglamento General de Protección de Datos de la Unión Europea. Éste será de aplicación directa a todos los países de la Unión a partir del 25 de mayo de 2018.
Hasta entonces seguirá plenamente vigente nuestra LOPD y su Reglamento de desarrollo. No obstante, tenemos todavía un año para adaptar nuestras organizaciones a las exigencias de la nueva normativa.
Objetivos del nuevo reglamento
- Armonizar la normativa en toda la Unión Europea. Su objetivo es garantizar el mismo nivel de protección de datos para todos los ciudadanos europeos.
- Adaptar la normativa sobre protección de datos a la realidad tecnológica y social en la sociedad de la información actual. Esto facilitará la libre circulación de datos personales en la Unión Europea con las máximas garantías de seguridad.
- Reforzar el derecho a la Privacidad de Datos en toda la UE.
Desde mi punto de vista, el gran salto cualitativo que aporta el Reglamento es muy elevado. Da una vuelta de tuerca en la exigencia a las empresas respecto a las medidas a adoptar para lograr una conducta activa y efectiva en relación a la protección de datos.
Puntos clave y conclusiones
- Compromiso. Las empresas deben tomarse mucho más en serio la protección de datos. Hay que concienciarse sobre la responsabilidad que se adquiere al “custodiar” datos personales de terceros y asumir el compromiso de establecer protocolos de seguridad eficaces.
- Evaluar Riesgos. Es necesario hacer una evaluación de los riesgos que, para la privacidad de los datos, puedan producirse en el funcionamiento de la empresa.
- Mejor prevenir que curar. Adoptar medidas de seguridad preventivas según los riesgos observados. Estas medidas deben ser eficaces y adaptadas al negocio. Además, deben tomarse desde el origen del diseño de cada nuevo producto o servicio.
Así, adquiere especial relevancia el cuidado con el que se selecciona a los proveedores a los que damos acceso a datos de los que somos responsables. Debemos asegurarnos de que esos Encargados de Tratamiento apliquen las medidas técnicas y organizativas necesarias para garantizar el mismo nivel seguridad que aplicamos en nuestra propia empresa.
- Refuerzo del deber de información. Se exigen mayores dosis de transparencia y lealtad en la información que se presta a los interesados cuyos datos personales tratamos.
- Conservación de los datos el mínimo tiempo posible. Se establece la necesidad que el Responsable del Tratamiento informa al interesado sobre el tiempo de conservación de los datos. Para garantizar que los datos personales no se retienen innecesariamente, el responsable del tratamiento ha de establecer plazos para su supresión o revisión.
- Se acabó el consentimiento tácito. El consentimiento para el tratamiento de datos ha de ser expreso por parte de su titular, especialmente en internet. Hay que olvidarse de las casillas de consentimiento preseleccionadas, o aquellos interminables textos legales en la web en los que se acaba añadiendo una frase que afirma que leyendo dicho texto se presta consentimiento expreso a la política de privacidad. El nuevo Reglamento impone expresamente la obligación de que haya una conducta activa de prestar el consentimiento por el interesado. No sólo hay que obtener un consentimiento expreso, sino además poder demostrarlo.
- Endurecimiento de las sanciones por incumplimiento. Las multas previstas en el Reglamento llegan hasta los 20 millones de euros o el 4% del volumen de negocios total anual del infractor.
- Indemnización por daños y perjuicios a los afectados. Existen diferencias substanciales respecto a la normativa actual. El nuevo Reglamento contempla que el responsable/encargado del tratamiento sancionado deberá indemnizar al interesado por los daños y perjuicios producidos. Esto sin duda va a propiciar que crezcan las denuncias de forma exponencial.
En definitiva, mayor protección pero mayor exigencia a las empresas. Sería aconsejable que aquellas que aún no hayan implantado protocolos de protección de datos lo hagan con urgencia, ya no sólo por el hecho de cumplir con una obligación legal, sino porque ninguna empresa se va a poder permitir estar al margen cuando entre en vigor el nuevo Reglamento.
El Departamento de Protección de datos de globalpacta está a su disposición para analizar el grado de observancia de su empresa en esta materia. En caso necesario, realizaríamos la implantación o las adaptaciones oportunas que aseguren su total cumplimiento.
Si tiene cualquier duda o pregunta al respecto, contacte con nosotros y le ayudaremos.
Jorge Gutiérrez, abogado
Departamento Protección de datos y Nuevas Tecnologías