El nuevo Reglamento General de Protección de Datos (RGPD) de obligado cumplimiento a partir del próximo mes de mayo, supone la mayor transformación legislativa en la materia de las últimas décadas. No se trata de meros cambios estéticos o superficiales: con el nuevo marco jurídico nacen nuevas obligaciones, como el registro de actividades de tratamiento, se modifican las políticas para obtener el consentimiento y se crea la necesidad de llevar a cabo un análisis de impacto o designar a un DPO (Data Privacy Officer), en algunos casos.
El Parlamento Europeo y el Consejo aprobaron en 2016 este texto con un claro objetivo, unificar los regímenes de todos los Estados Miembros en el ámbito de la protección de datos personales. Desde entonces, mucho se ha hablado de los principios y fundamentos que vertebran la normativa, pero todavía resulta difícil responder a cuestiones cardinales como: ¿qué empresas deben aplicarlo? ¿Qué sanciones por incumplimiento contempla? ¿Es muy diferente a la Ley Orgánica de Protección de Datos (LOPD)? ¿Qué paso hay que dar en primer lugar para adaptar una entidad? ¿Qué papel tiene el DPO?
A continuación damos respuesta a las cinco preguntas más habituales que nos han planteado nuestros clientes hasta la fecha:
1. ¿Qué empresas deben aplicar el RGPD?
Todas las personas físicas y entidades de cualquier tamaño que procesen información personal de residentes de la Unión Europea, independientemente de dónde estén ubicadas. ElRGPD no está dedicado a determinadas actividades económicas, sino que se dirige a cualquier práctica de almacenamiento y tratamiento de datos, tanto local como en la nube.
2. ¿Cuál es el nuevo régimen sancionador?
La sanción máxima que contemplaba la LOPD era de 600.000 euros, mientras que el RGPD la eleva hasta los 20 millones de euros o hasta el 4 % de los beneficios anuales de la empresa, cifra a la debemos sumar las correspondientes indemnizaciones a las personas afectadas. El incumplimiento puede acarrear también, la suspensión o limitación de los flujos de datos, apercibimiento público y el consecuente perjuicio a la reputación.
3. ¿Cuáles son los cambios más destacados respecto a la LOPD?
Una de las principales novedades es la unificación de todas las normativas europeas.
La obligatoriedad de inscribir los ficheros de tratamiento en la autoridad nacional de protección de datos (AEPD), evoluciona a un registro interno de todas las actividades de tratamiento que se realizan en el seno de la empresa.
Cualquier fisura en el tratamiento de datos personales debe comunicarse a la autoridad de control en la mayor brevedad posible, estableciéndose un plazo máximo de 72 horas.
El RGPD está basado en el principio de responsabilidad proactiva y no sólo exige un debido cumplimiento de la normativa sino también, implementar los mecanismos necesarios para demostrar dicho cumplimiento.
La información que las empresas deben dar a los interesados al recoger sus datos es mayor que la exigida con la LOPD. Del mismo modo, se requiere que el consentimiento de los interesados sea expreso y en el caso de tratarse de menores de 16 años, es imprescindible el consentimiento de padres o tutores legales. En este sentido, cabe enumerar los derechos de los que goza el interesado:
Acceso a los propios datos personales.
Rectificación en el caso de que los datos sean inexactos.
Supresión o derecho al olvido si los datos son tratados de forma ilegal o ya no son necesarios para la finalidad con que se recogieron.
Limitación del tratamiento.
Portabilidad de los datos.
Oposición a un uso posterior con fines de prospección comercial, investigación científica o histórica.
No ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
4. ¿Cuál es el primer paso en la adaptación al nuevo RGPD?
Antes de actualizar políticas y protocolos, en Metricson aconsejamos llevar a cabo una auditoría para conocer el estado en el que se encuentra la empresa. A partir de ahí, las medidas técnicas y organizativas a aplicar deben ser personalizadas a cada empresa, los nuevos textos, documentos y cláusulas deben crearse a medida de la entidad.
5. ¿Qué es un delegado de protección de datos DPO?
Es una figura esencial en el RGPD ya que se encarga de informar, asesorar y supervisar al Responsable y Encargados de Tratamiento. Determinadas empresas, según sus características, tienen la obligación de contar con un DPO, un perfil que puede ser interno o externo.
La nueva normativa exige una gestión muy distinta a la que veníamos empleando, de ahí que se haya dado un plazo de dos años desde su aprobación para la aplicación de sus protocolos, por lo que recomendamos iniciar el proceso de adaptación cuanto antes.
Metricson es una firma de servicios legales especializada en negocios tecnológicos e innovadores y ayudas a empresas de todo el mundo a desarrollar y proteger su actividad con las máximas garantías legales.
Si quieres más información o quieres saber más acerca de nuestros servicios, no dudes en ponerte en contacto con nosotros aquí