fbpx
 
 
Sede central : 986 25 25 25
Atención al cliente: 986 29 00 00
Acceso privadoAcceso privado

ActualidadGDPR, el nuevo horizonte de la LOPD

28 noviembre, 2017

Bajo las siglas en inglés (General Data Protection Regulation) que darán mucho que hablar en España, Europa y parte del mundo, es como se conoce al nuevo Reglamento General de Protección de Datos de la Unión Europea. El pasado viernes 10 de noviembre se aprobó el proyecto de Ley Orgánica de Protección de Datos que adaptará nuestra legislación a las disposiciones del Reglamento UE 2016/679, el cual obligará a las compañías e instituciones de todo el continente y de más allá a cambiar la manera en que procesan la información personal de sus clientes, es un asunto trascendental con una fecha límite marcada en el 25 de mayo del año 2018; en ese momento, los artículos del famoso reglamento, que está aprobado desde el 25 de mayo de 2016, serán de obligado cumplimiento para todos y partir de esa fecha la Agencia Española de Protección de Datos podrá sancionar a aquellas empresas que no los efectúen.

Con este Reglamento la Unión Europea quiere dar un mayor control de su información personal a los titulares de la misma y como novedad, en este tipo de datos  se incluirán los biométricos y genéticos. En Conclusiones generales, el GDPR refuerza la LOPD (ley española aplicada en materia de protección de datos , vigente hasta el momento) y no es una Directiva Europea que deba de ser traspuesta a nuestra legislación interna, es algo más global, se trata de un reglamento que se aplicará a todos los efectos a partir de la fecha del año que viene anteriormente indicada y en caso de conflicto entre ambas, siempre prevalecerá la legislación comunitaria.

Las grandes novedades que nos aporta son muchas, pero entre las más interesantes se ha destacar el empaque que pone en el consentimiento. Por fin se pone punto y final a los textos largos, en un solo bloque y con una letra microscópica. En el futuro, a partir de la aplicación serán de fácil acceso, con un lenguaje claro y sencillo. Además, de darse explícitamente, ese consentimiento también podrá ser retirado por el usuario de forma fácil, lo que concluirá con los consentimientos implícitos y comunes, el titular autorizará el tratamiento de sus datos de forma expresa para finalidades específicas. La legislación establecerá que la edad en la que los menores pueden prestar su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, Facebook o Twitter) será de 16 años, estableciendo un límite no inferior de 13 años. En el caso de nuestro país ese límite continúa en 14 años y por debajo de este es necesario el consentimiento de padres o tutores, es muy importante recordar que el consentimiento tiene que ser contrastable y que el aviso de privacidad debe estar escrito en un lenguaje que los menores de edad puedan entender.

En correspondencia con lo antes manifestado, los aspectos esenciales en los que se basan la prevención por parte de las diferentes organizaciones que tratan datos, es lo que se conoce como responsabilidad activa. Las empresas adoptarán medidas que aseguren que están en condiciones de cumplir con los principios, derechos y garantías establecidos. Sobre lo legislado, desde su puesta en marcha se entiende que se actuará sólo cuando ya se ha producido una infracción, dado que esta puede causar daños a los interesados que pueden ser muy difíciles de resarcir o restaurar.

Para eso, el Reglamento prevé una batería de medidas como son las siguientes:

  • Mantenimiento de un registro de tratamientos
  •  Realización de evaluaciones de impacto sobre la protección de datos
  •  Nombramiento de un delegado de protección de datos
  •  Notificación de violaciones de la seguridad de los datos
  •  Promoción de códigos de conducta y esquemas de certificación.
  •  Protección de datos desde el diseño
  •  Protección de datos por defecto
  •  Medidas de seguridad

Igualmente el reglamento europeo da especial preferencia al derecho al olvido y a la comunicación de brechas, allanando más el camino para que la información personal se elimine a requerimiento de su titular cuando los datos ya no sean necesarios para la finalidad con la que fueron recogidos, aun si bien se advierte que este derecho estará acotado cuando el interés público de esa información prevalezca. Se obligará a las mercantiles a notificar en 72 horas las brechas de seguridad que supongan el robo de información personal de sus clientes, la comunicaciones irán dirigidas a las autoridades competentes, clientes e incluso se le podrá exigir, dependiendo de su alcance, a promulgarlo por los medios de comunicación.

Asimismo, este nuevo ordenamiento obligará al derecho a la portabilidad de un destino a otro si el cliente lo solicita, lo que hará posible que cada uno se pueda “llevar sus datos a casa” cuando cancele un servicio o trasladarlos, como sería el caso de los usuarios de las plataformas de Internet. A este respecto cada vez que el usuario o cliente adquiera un nuevo producto o servicio, la privacidad que se aplicará por defecto será la más estricta, y no la más leve, como ocurre en muchos casos ahora.

En relación con lo anteriormente mencionado, se extenderá la cobertura geográfica de la protección de datos; no sólo afectará a las sociedades europeas o extranjeras que procesan datos personales de residentes comunitarios dentro de la Unión, sino que también se someterán las que tengan sede fuera del territorio comunitario pero que tramitan datos de ciudadanos con residencia en Europa. En concordancia con esta nueva expansión de la circunscripción competente se implantará un servicio de “ventanilla única”, pensado para que los responsables establecidos en varios estados miembros o que lo estén en uno sólo, hagan tratamientos que afecten relevantemente a ciudadanos en distintos territorios europeos tengan un único arbitrio como interlocutor, por ello cada autoridad en  lugar de la dirimir la cuestión a nivel únicamente nacional, a partir de la puesta en marcha de la nueva normativa valorará si el supuesto tiene carácter transfronterizo y a raíz de lo cual se abriría un procedimiento de cooperación entre los diferentes organismos afectados en busca de una solución apta para el conjunto. En el caso de producirse discrepancias insuperables entre los entes, habrá que elevar esta disconformidad al Comité Europeo de Protección de Datos (integrado por los directores de todas las Autoridades de protección de datos de la Unión) y será este el que solventará la controversia mediante decisiones coordinadas con las diferentes instituciones implicadas. Esta nueva praxis no supone que los ciudadanos tengan que relacionarse con varias autoridades o con distintas de la del estado donde habitan, siempre partirán del supuesto de plantear sus reclamaciones o denuncias ante su propia entidad nacional competente y será esta la que comunicará al interesado el desenlace de su reivindicación, tenemos que matizar que este modo de tramitación no afectará a las mercantiles que sólo llevan a cabo su actividad en un único país miembro y que realicen tratamientos que afecten exclusivamente a interesados en ese estado.

Un punto esencial y que marca distancias significativas con la anterior LOPD son las sanciones, que podrán llegar a los veinte millones de euros (20.000.000 €) o al 4% de la facturación global de infractor, hemos de recordar que en la actualidad la máxima en nuestro país en esta materia es de seiscientos mil euros  (600.000 €).

Para concluir quedaría por exponer la figura del DPO (Data Protection Officer), se trata de la figura  de un delegado que del que estarán obligados a disponer todos los organismos públicos y ciertas empresas que manejan un volumen significativo de datos personales, el cual actuará como intermediario entre los organismos competentes, los clientes y la propia sociedad que lo contrataría.

Desde Grupo ABC es una obligación recordarle a nuestros clientes y al resto de obligados la importancia que tiene el estar adaptado y actualizado a la Ley de Protección de Datos puesto que resta menos de medio año para que todas las empresas se adapten a este nuevo Reglamento Europeo, momento desde el cual la Agencia Española de Protección de Datos podrá sancionar a aquellas empresas que no lo hagan.

Tendría que ser una prioridad para los sometidos a los cambios arriba expuestos el realizar un análisis de riesgo de sus tratamientos y empezar desde ahora a identificar el tipo y el grado de complejidad de los mismos, siempre teniendo en cuenta que la decisiones tomadas no sean contradictorias a las disposiciones de la LOPD, que sigue siendo la norma que rige los tratamientos de datos en España por el momento. Nada impide que las organizaciones empresariales, a través de sus directivos, utilizando las herramientas y recursos  vayan desarrollando y comiencen a planificar o a establecer el registro de tratamientos de datos, implantar evaluaciones de impacto o cualquiera otra medida prevista, así como de otras modificaciones prácticas derivadas de las mismas. Paralelamente, podrían comenzar a diseñar e implantar procedimientos para notificar a las entidades de protección de datos o a los interesados las quiebras de seguridad que se  pudieran producir. La ventaja de una pronta aplicación es que permitirá detectar dificultades, insuficiencias o errores en una etapa no obligatoria y no sometida a supervisión, por tanto permitiría corregir errores desde el instante mismo de su aplicación.

Es una incógnita lo que sucederá desde su aplicación en 2018 pero ante los datos estadísticos manejados al respecto se supone  que muchas sociedades y en especial las pequeñas no lleguen a tiempo para su cumplimiento, desde ese momento entrará en juego la capacidad sancionadora de la de la AEPD,  dependiendo de las multas y de su contundencia para que se acelere o ralentice el tiempo de adaptación. Si es como en las anteriores modificaciones legislativas al respecto del tema que nos ocupa, la aplicación por parte de las autoridades será más bien leve, con lo cual la presión será menor y el periodo de adaptación se alargará. Si es al contrario, (debemos recordar que la Agencia se financia con las propias sanciones que impone a las empresas), en el momento que el mercado tenga conocimiento de escarmientos celebres, tanto en cuantía como en la merma de la reputación del infractor, las mercantiles que no tengan los deberes hechos no tendrán otra salida que ponerse al día lo antes posible para evitar el castigo correspondiente.

Todos los indicadores determinan que la generalidad de las empresas españolas van retrasadas en su aplicación o ni siquiera han iniciado su implantación, se distingue diferentes ritmos de  la adaptación entre multinacionales y grandes empresas, más acostumbradas por su estructura a solventar estos temas, y las pymes, que todavía no acaban de interesarse.  Muchas compañías no saben identificar el alcance del GDPR y   en este momento predomina un cierto desconcierto, ya que muchas de ellas no saben si lo deben cumplir o no, de lo que se desprende que no están tampoco preparadas, creen que no les afectaba la ley porque no tramitan grandes bases de datos de usuarios finales, sin ser conscientes de que les afecta tengan o no empleados, siempre que procese o almacene datos de carácter personal de  residentes en la UE, a través de medios informáticos o en soporte papel, tales como sus ficheros de clientes, proveedores, trabajadores. Por pequeña que sea la sociedad o por raro que sea el sector de actividad, sin importar dónde se encuentran su sede central o sus servidores, están obligadas a cuidar con más esmero los datos personales que mantiene en sus sistemas cumpliendo los requisitos del reglamento Europeo

Ante la inminente entrada en aplicación del Reglamento son muchas las cuestiones que asaltan a los empresarios y todas ellas no tendrían que desparecer simplemente con la contratación de un certificado oficial de cumplimiento, aunque la propia normativa impulse su desarrollo, estos certificados no serán obligatorios y tampoco librarán de responsabilidades a las entidades si no cumple con lo normativa expuesta.

Lo que si queremos destacar es que los que antes implanten las medidas obligatorias y se certifiquen conseguirán una ventaja competitiva en el mercado, reforzando su imagen de cara a sus clientes o empleados, mostrando que le importa la protección de datos de estos. En este sentido, conviene ponerse en contacto con consultoras tecnológicas que dispongan de un completo departamento legal, con firmas de tecnología que trabajan en colaboración con despachos legales, o con despachos puros de abogados con un buen conocimiento de sistemas de información y de herramientas de ciberseguridad.

 

anterior
Domicilio social versus domicilio fiscal
siguiente
Prestamos personales con cláusula suelo

Copyright ©2021, GRUPO ABC. Todos los derechos reservados

Grupo abc | Asesores tributarios y abogados en Vigo

es_ESSpanish
es_ESSpanish