El pasado 25 de mayo entró en vigor el nuevo Reglamento (UE) 2016/679 en materia de Protección de Datos, que obliga a las empresas a adaptarse en materia de recopilación, uso, divulgación, retención y protección de datos de carácter personal. El Reglamento es de aplicación directa a todas las legislaciones nacionales, por lo que todos los Estados Miembros deben adaptarse.
Esta medida es fruto de la transformación digital. La informática abarca todos los ámbitos de la vida de los ciudadanos, y el intercambio de datos personales ha aumentado de manera significativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales a una escala sin precedentes. De ahí nació la necesidad, e hizo que la Unión Europea, consciente de esta situación, aprobara el Reglamento General de Protección de Datos.
Las novedades más importantes que se introducen con este Reglamento son, entre otras, las siguientes:
– El cambio más significativo respecto de la anterior LOPD es el relativo al “consentimiento para tratar los datos personales”, que ahora deberá ser expreso e inequívoco. Si una empresa u organización no puede demostrar que tiene el consentimiento expreso del titular para ese fin y uso concreto, es mejor que no los use o que los borre, porque la Agencia Española de Protección de Datos le va a pedir la documentación, si es inspeccionado. Por tanto, el RGPD refuerza visiblemente la protección de datos de los particulares.
– “Responsabilidad proactiva” (Accountability). El responsable del tratamiento de datos no solo debe cumplir con las obligaciones y medidas de seguridad exigidas sino que, además, debe ser capaz de demostrar dicho cumplimiento.
– “Derecho al olvido”. El ciudadano tiene la potestad para obligar a la entidad que posee sus datos para que los elimine en caso que ya no fuera necesaria su utilización, o se hubiesen utilizado de manera ilícita.
– Se introducen, además, dos nuevos derechos a los tradicionales de acceso, rectificación, cancelación y oposición (ARCO): El de “portabilidad” y el de “limitación del tratamiento”.
– Otra de las importantes novedades del nuevo Reglamento -respecto a la anterior legislación- se refiere a la suma de las sanciones. A partir de ahora las multas podrán ascender a 20 millones de euros o al 4% de la facturación global del negocio.
– Se impone también la obligatoriedad de informar y notificar a las autoridades y a los interesados, en caso de incidencias de seguridad, en el plazo máximo de 72 horas.
– El Delegado de Protección de Datos (DPD). Esta figura es una de las novedades dentro del nuevo reglamento de protección de datos. El DPD va a ser la persona o entidad contratada que estará encargada del cumplimiento del Reglamento dentro de las organizaciones. Eso sí, la figura del DPD no es obligatoria para todas las empresas.
¿COMO SE ADAPTAN LAS EMPRESAS AL RGPD?
Las empresas tendrán que realizar análisis de riesgos o “evaluaciones de impacto” con respecto al tratamiento de los datos que manejan. También deberán poner en marcha un registro general de actividades de tratamiento de los datos y medidas técnicas de seguridad para protegerlos y garantizar a los ciudadanos transparencia sobre como se usan. Además las empresas tendrán que ser proactivas en lugar de reactivas.
Por eso desde el Grupo Jurídico al que pertenecen la Asesoría “ENCLAVE, ABOGADOS Y ECONOMISTAS” y los Despachos Jurídicos “MONTEJO & GLEZ. MARTÍN-RAMOS GLEZ. DE RIVERA”, y sus profesionales expertos en Protección de Datos, queremos ayudar a su Empresa en la tarea de implementación del RGPD, adaptando todos sus procesos al mismo.
Contacto: Sandra Ramos Glez. de Rivera (925 821 571).
Autor: Roberto González Martín. Abogado. Controller Jurídico.