El pasado 27 de abril de 2016 entró en vigor el Reglamento Europeo relativo a la protección de las personas físicas (RGPD) en lo que respecta el tratamiento de sus datos personales y la libre circulación de estos datos.
El 25 de mayo de 2018 será aplicable a todas las empresas que traten datos personales. Será obligatorio en todos sus elementos y de aplicación directa en cada Estado miembro de la UE.
¿Cómo afecta a nuestras empresas esta entrada en vigor?
Cualquier norma nacional previa que regulase la protección de las personas en lo relativo al tratamiento de sus datos, no será aplicable a partir de la fecha prevista si contradice la normativa europea.
En el caso de España, la aplicación del RGPD supondrá la derogación de nuestra conocida LOPD y el reglamento que desarrolla esta Ley.
Los Estados miembros podrán ampliar el texto de la RGPD sólo en lo que la norma denomina materias adicionales y que hacen referencia, entre otras cuestiones, a:
• La libertad de expresión de las personas,
• Ampliación de garantías en la protección de los datos en ámbitos laborales,
• y a otras cuestiones organización de orden público.
a. Cambio de actitud: de lo reactivo a lo proactivo.
Hasta ahora, la práctica común de las empresas en esta materia se ha
limitado a declarar un fichero, insertar unas cláusulas en la correspondencia y
disponer de un documento de seguridad declarando las medidas adoptadas.
Las empresas confiaban que estaban cubiertas y protegidas ante posibles
sanciones por incumplimiento porque:
• Declaraban sus ficheros al Registro General de la AEPD,
• Disponían de un documento de seguridad con una lista, más o menos válida
de medidas de seguridad, e
• Insertaban algunas cláusulas informativas, en sus escritos y correos
electrónicos.
Esto cambia con la aplicación del RGPD ya que se centra en los
tratamientos de los datos personales contenidos o destinados a ser
incluidos en un fichero y en el cumplimiento total de todo lo
previsto en la normativa.
¿Qué le ocurrirá al Registro de Protección de Datos donde se daban de alta los ficheros de las empresas?
El Registro se cierra y el fichero pasa a ser un elemento ya no tan relevante.
Las empresas no tendrán la obligación de declarar los ficheros que utilizan.
El fichero pasa a un segundo plano y se presta atención al
tratamiento y uso que se hace de los datos personales.
El tratamiento es un proceso dinámico (de acciones y actuaciones)
y el fichero es algo estático (una agrupación de un conjunto de
datos).
Al poner el foco y la atención en lo dinámico del proceso de tratamiento del
RGPD surge un nuevo concepto: la responsabilidad proactiva que determina que el
responsable del tratamiento ha de ser responsable del cumplimiento de sus
obligaciones y capaz de demostrarlo.
El principio de accountability (cumplimiento)
No se puede esperar a que se produzca un incumplimiento para actuar
(responsabilidad reactiva) sino que hay que demostrar de forma activa que se
cumple con todas las obligaciones que impone la normativa.
La mejor prueba del cumplimiento es la documentación de todos los
procesos y las garantías que se han adoptado respecto a ellos.
También podrá acreditarse la proactividad adhiriéndose a códigos de
conducta (que aprueben las asociaciones u otros organismos de representativos) o
a un mecanismo de certificación (instrumentos que todavía están por desarrollar).
b. Ámbito de aplicación: territorial y personal
El ámbito de aplicación del RGPD se extiende a todos los ciudadanos de la
UE.
Independientemente de donde tenga ubicada su actividad una
empresa o profesional, si el servicio o producto se dirige a un
ciudadano de la UE, deberá ajustarse y someterse a lo establecido
en el RGPD.
Esta cuestión es importante en el ecosistema digital donde se mueven las empresas
en la actualidad.
Un ejemplo:
Podemos ubicar o almacenar datos de nuestros clientes en
servicios On Cloud pudiendo estar dichos servidores fuera
de la UE, debiendo las empresas que prestan este servicio
cumplir con todo lo dispuesto en el RGPD.
Países como EEUU tienen acuerdos con la UE (privacy shield) que permiten a
compañías norteamericanas adheridas a este pacto, tratar datos de residentes
europeos en servidores ubicados en Estados unidos. Estos acuerdos actualmente
están siendo revisados y adaptados a la RGPD.
Por ello, entendemos que es preferible valorar los riesgos y ventajas antes
de contratar con un servidor radicado fuera de la UE.
c. Privacidad desde el diseño y por defecto
El Reglamento para garantizar con mayor efectividad la privacidad en el
tratamiento de los datos, parte de dos conceptos fundamentales:
• Privacidad en el diseño. La garantía de que el tratamiento del dato se realiza
correctamente debe estar definida desde el momento mismo de la creación
del servicio o producto que ofrezca la empresa.
• Privacidad por defecto. La otra garantía es que por defecto el uso del dato va
a ser el adecuado al respetar desde el primer momento el resto de principios
que se resumen en que los datos se usan para la finalidad prevista y de la
forma menos invasiva a la privacidad.
Estos principios implican una visión integral y continua que conlleva unas
medidas organizativas y técnicas adecuadas.
Así pues, por defecto, el responsable del tratamiento
garantizará que sólo sean objeto de tratamiento los datos
personales que sean necesarios para cada uno de los fines
específicos del tratamiento. Esta obligación se aplicará a la cantidad
de datos personales recogidos, a la extensión de su tratamiento, a
su plazo de conservación y a su accesibilidad.
Estas medidas organizativas y técnicas han de especificarse tanto en el
momento de determinar los medios de tratamiento como en el momento del propio
tratamiento, y siempre teniendo en cuenta el estado de la técnica, el coste de las
aplicaciones y la naturaleza, ámbito, contexto y fines del tratamiento, así como los
riesgos de diversa probabilidad y gravedad que entrañen el tratamiento para los
derechos y libertades de los interesados.
d. Régimen sancionador
Con la entrada en vigor del RGPD, las sanciones se ven incrementadas. En
esta tabla se describen las sanciones aplicables según el grado de las mismas:
Tipo de
infracción:
Sanción
Leve
2% del volumen de negocio total anual global del año
anterior financiero, o 10 millones de euros
(la cantidad mayor)
Sanción Grave
4% del volumen de negocio total anual global del año
anterior financiero, o 20 millones de euros
(la cantidad mayor)
Para determinar el grado de sanción, la RGPD evalúa también el
grado de responsabilidad entre otras circunstancias, en atención a
las medidas técnicas u organizativas aplicadas.
Así también se tendrán en cuenta otras circunstancias: naturaleza, gravedad
y duración de la infracción, intencionalidad o negligencia, medidas para paliar los
daños y perjuicios, infracciones anteriores, grado de cooperación con la autoridad
de control, la adhesión a códigos de conducta o mecanismos de certificación.