RGPD: El nuevo reglamento de protección de datos

Desde el próximo 25 de mayo de 2018 se aplicarán las novedades introducidas por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos (RGPD).

¿Qué supone la entrada en vigor del nuevo Reglamento de Protección de Datos?

La entrada en vigor del RGPD es un cambio notable en la forma de afrontar los derechos y obligaciones relacionadas con los datos personales gestionados por las empresas, reforzando de manera considerable, los derechos de los interesados y endureciendo el régimen sancionador aplicado hasta el momento.

¿Cuáles son los principales cambios introducidos por el RGPD?

Las principales novedades introducidas por el RGPD serían las siguientes:

1. Consentimiento expreso e inequívoco del interesado.

Con la entrada en vigor del RGPD, será obligatorio que la recogida de datos se realice con el consentimiento expreso e inequívoco del interesado (normalmente cliente), no admitiéndose las formas de consentimiento tácito o por omisión que, hasta el momento, han sido válidas.

Para ello, será necesario no seguir obteniendo consentimientos por omisión y revisar estos tratamientos para que, a partir del 25 de mayo de 2018, los datos se recojan en la forma establecida por el Reglamento.

2. Fortalecimiento de las obligaciones de información de los interesados.

Se refuerza la información que debe facilitarse a los titulares de los datos, debiendo proporcionarse dicha información de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro, conciso y por escrito.

A este respecto el Reglamento proporciona una lista exhaustiva de la información que debe proporcionarse a los interesados (más amplia que la que actualmente contiene la LOPD).

En consecuencia, será necesario adecuar las cláusulas de información a los interesados, especialmente en materia de conservación de datos y transferencias internacionales, debiendo ser muy cautelosos en la forma de facilitar dicha información, con objeto de poder acreditar con posterioridad que la misma ha sido facilitada, de cara a evitar una posible sanción.

3. Ampliación de los derechos de los interesados.

Hasta el momento los interesados tenían derecho al acceso, rectificación, cancelación y oposición de sus datos personales (Derechos ARCO), pudiendo ejercer dichos derechos de forma gratuita.

No obstante, se han introducido algunos cambios respecto de los citados derechos, como en el caso del derecho de acceso, el cual se ha ampliado por el Reglamento al reconocer el derecho a obtener una copia de los datos personales objeto del tratamiento, que hasta el momento no se permitía.

Asimismo, se han incluido dos nuevos derechos:

  • Derecho al olvido: el cual es más una consecuencia de la aplicación del derecho de cancelación. Y se trata del derecho al borrado de los datos personales.
  • Derecho a la portabilidad: este derecho implica que los datos personales del interesado se transmitan directamente de un responsable a otro, sin que sea necesario transmitir previamente al interesado, siempre que ello sea técnicamente posible.

4. Refuerzo de la figura del encargado del tratamiento.

Se establecen una serie de obligaciones propias de los encargados del tratamiento.

Asimismo, se establece un contenido mínimo del contrato entre el encargado y el responsable.

Por ello, será necesario revisar aquellos contratos suscritos con anterioridad a la entrada en vigor del Reglamento, con objeto de modificarlos y adaptarlos a las nuevas exigencias.

5. Registro de Actividades del Tratamiento.

Se elimina la obligación de inscribir los ficheros en la Agencia Estatal de Protección de Datos y se establece la obligación de llevar un registro de actividades del tratamiento de los datos personales, tanto a los responsables como a los encargados.

Ello conllevará la realización de un análisis de las operaciones de tratamiento concretas con objeto de vincularlas a una finalidad común a todas ellas.

6. Responsabilidad proactiva en la elección e implementación de las medidas de seguridad.

El RGPD establece una serie de medidas de responsabilidad activa con objeto de garantizar la seguridad del tratamiento, que se podrían concretar en las siguientes:

  1. Todos los responsables deberán realizar una valoración del riesgo de los tratamientos que se realizan, con objeto de poder establecer qué medidas deben aplicar y como deben hacerlo. No obstante, en aquellas empresas que cumplan una serie de parámetros relacionados con el tamaño, el tipo de datos que tratan o el nivel y riesgo del tratamiento, deberán realizar una Evaluación el Impacto sobre la Protección de Datos, conforme a los parámetros establecidos en el Reglamento.
  2. Se deberán adoptar medidas organizativas y técnicas que garanticen un nivel de seguridad adecuado en función de los riesgos detectados en el análisis de riesgos.
  3. Obligación de notificar las violaciones de seguridad de los datos a la autoridad de protección de datos competente, en un plazo de 72 horas desde que se tenga constancia de dicha quiebra. Será necesario, para ello, establecer los mecanismos y procedimientos de notificación de quiebras de seguridad.
  4. Introducción de la figura del Delegado de Protección de Datos (DPD), que será obligatorio en determinados supuestos (tratamiento de datos sensibles o de datos a gran escala). En caso de no designar un DPD, será necesario identificar a la/s persona/s responsables de coordinar la adaptación.

7. Simplificación de los requisitos para la realización de transferencias internacionales de datos personales.

El nuevo Reglamento permite que las transferencias se realicen sin autorización de la autoridad en determinados supuestos.

¿Qué sanciones nos encontramos en caso de incumplimiento del nuevo Reglamento General de Protección de Datos?

El RGPD ha endurecido el régimen sancionador en caso de vulneración del tratamiento de los datos de carácter personal y ha incluido la posibilidad de que dichas sanciones puedan imponerse tanto al responsable como al encargado del tratamiento, cuando no cumplan sus obligaciones.

Las infracciones serán sancionadas atendiendo a la gravedad y a la cuantía económica asociada, en función de la franja en la que se encuentren:

  • Las primeras infracciones estarán sancionadas con hasta 10 millones de euros o el 2% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por el de mayor cuantía.
  • Las segundas, estarán sancionadas con hasta 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por el de mayor cuantía.

Por todo ello, es importante saber que todas aquellas entidades que, de algún modo, recogen y tratan datos personales, bien de empleados, clientes, proveedores, etc., están obligadas a realizar un análisis de su situación actual, para implementar aquellas nuevas medidas y obligaciones establecidas por el RGPD que le fueran aplicables, así como documentar todas aquellas actuaciones que fueran realizadas, con objeto de acreditar la diligencia en el cumplimiento del RGPD y, de esta forma evitar la imposición de una posible sanción.

Si este artículo le ha resultado interesante siéntase libre de compartirlo.

Mercedes Nieto

Mercedes es Abogada y Economista, estudió la Doble Licenciatura de Derecho y Administración y Dirección de Empresas en la Universidad de Granada. Asimismo, curso el Master Executive de Derecho Empresarial de Garrigues. Comenzó su carrera precisamente en esta multinacional del Derecho, donde trabajó en el Departamento Mercantil en las oficinas de Granada y Málaga durante cuatro años. Posteriormente, trasladó su residencia a Qatar, donde trabajó en una empresa constructora dos años, antes de volver a España. Regresó a España para incorporarse al Departamento Mercantil de KPMG, en sus oficinas de Málaga, donde estuvo trabajando hasta su incorporación en 2018 a Ruiz Ballesteros Economistas y Abogados. Mercedes ha desarrollado su carrera asesorando a grandes empresas españolas, tanto nacionales como aquellas que tienen algún tipo de relación internacional. Conoce a la perfección el sistema jurídico-societario español y habla inglés. Experta en derecho mercantil y societario, forma parte de nuestro Departamento Mercantil y posee amplia experiencia en operaciones de Fusión y Adquisición (M&A) y reestructuración empresarial.

Deja un comentario