El pasado 25 de mayo de 2016 entró en vigor el nuevo Reglamento General de Protección de Datos de la Unión Europea que será de aplicación directa a todos los países de la Unión a partir del 25 de mayo de 2018.
Eso significa que hasta entonces, seguirá plenamente vigente nuestra LOPD y su Reglamento de desarrollo. No obstante, también significa que tenemos aproximadamente un año y medio por delante para adaptar nuestras organizaciones a las exigencias de la nueva normativa, que no son pocas.
El nuevo reglamento en líneas generales tiene tres grandes objetivos:
- Armonizar la normativa sobre Protección de datos en toda la Unión Europea, garantizando un nivel equivalente de protección de datos para todos los ciudadanos europeos.
- Adaptar la normativa sobre protección de datos a la realidad tecnológica y social en la sociedad de la información actual, facilitando la libre circulación de datos personales en la Unión Europea, pero con las máximas garantías de seguridad.
- Reforzar el derecho a la Privacidad de Datos en toda la UE.
Desde mi punto de vista, el gran salto cualitativo que aporta el Reglamento es que da una vuelta de tuerca en la exigencia que se hace a las empresas en lo relativo a las medidas que han de adoptar en materia de protección de datos. Se pretende acabar con la política de “cubrir el expediente” a cambio de lograr una verdadera conducta activa y efectiva por parte de las empresas en relación a la protección de datos.
Sin pretender en este momento, ni mucho menos, hacer un análisis completo de las novedades del Reglamento, destaco algunas conclusiones importantes:
- Compromiso: Las empresas deben tomarse mucho más en serio la protección de datos. Se ha de tomar consciencia de la responsabilidad que se adquiere al “custodiar” datos personales de terceros y adquirir el compromiso de establecer protocolos de seguridad eficaces.
- Evaluar Riesgos: Es necesario hacer una evaluación de los riesgos que para la privacidad de los datos, se puedan producir en el normal funcionamiento de la propia empresa.
- Prevenir antes que curar: En función de los riesgos observados, tomar las medidas de seguridad preventivas correspondientes. Las medidas de prevención deben ser eficaces y a la medida del negocio. Se deben incluso tener en cuenta desde el origen o el diseño de un nuevo producto o servicio.
Por ejemplo, entre estas medidas de seguridad adquiere especial relevancia el cuidado con el que seleccionemos a los proveedores a los que demos acceso a datos de los que seamos responsables. Deberemos asegurarnos de que esos Encargados de Tratamiento, apliquen las medidas técnicas y organizativas necesarias para garantizar el mismo nivel seguridad en el tratamiento de los datos que aplicamos en nuestra propia empresa.
- Refuerzo del deber de información. Se exige mayores dosis de transparencia y lealtad en la información que se presta a los interesados a los que se les tratan los datos personales.
- Conservación de los datos el mínimo tiempo posible. Se establece la necesidad de informar al interesado sobre el tiempo de conservación de los datos por parte del Responsable del Tratamiento. Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica.
- Se acabó el consentimiento tácito. El consentimiento para el tratamiento de datos ha de ser expreso por parte de su titular. Esto adquiere especial importancia en internet. Hay que olvidarse de las casillas de consentimiento preseleccionadas, o aquellos interminables textos legales en la web en los que se acaba añadiendo una frase que afirma que leyendo dicho texto se presta consentimiento expreso a la política de privacidad. El nuevo Reglamento impone expresamente la obligación de que haya una acción activa de prestar el consentimiento por parte del interesado. No sólo hay que obtener un consentimiento expreso, sino además poder demostrar que se tiene.
- Endurecimiento de las sanciones por incumplimiento: Prueba de la importancia que se le da al respeto a la protección de datos personales es el endurecimiento significativo de las sanciones por incumplimiento. Las multas previstas en el Reglamento llegan hasta los 20 millones de euros o el 4% del volumen de negocios total anual del infractor.
- Indemnización por daños y perjuicios a los afectados. A diferencia de la normativa actual, el nuevo Reglamento contempla que el responsable o el encargado del tratamiento sancionado además deba indemnizar por los daños y perjuicios producidos al interesado. Esto sin duda va a propiciar que crezcan exponencialmente las denuncias.
En definitiva, mayor protección pero mayor exigencia a las empresas, así que aquellas que aún no hayan implantado aun protocolos de protección de datos sería más que aconsejable que lo hagan con urgencia, ya no sólo por el hecho de cumplir con una obligación legal, sino porque ninguna empresa se va a poder permitir estar al margen cuando entre en vigor el nuevo Reglamento.
El Departamento de Protección de datos de Global Pacta está a su disposición para analizar el grado de cumplimiento que su empresa tiene en materia de protección de datos y realizar en caso necesario, la implantación o las adaptaciones oportunas que aseguren su total cumplimiento.