El próximo 25 de mayo comienza a ser aplicable el reglamento europeo de protección de datos de 2016. La aplicación de esta norma en cada uno de los Estados miembros requiere de un desarrollo normativo interno que, en el caso de nuestro país, todavía no ha sido aprobado. El pasado 10 de noviembre, el Gobierno aprobó el proyecto de la nueva Ley Orgánica de Protección de Datos (LOPD), que fue remitido al Congreso de los Diputados. La finalidad de esta norma es tanto la depuración del ordenamiento nacional de la normativa interna que se oponga al reglamento como su desarrollo o complemento para hacer plenamente efectiva su aplicación. Sin embargo, los expertos dudan de que la nueva ley de protección de datos esté aprobada para mayo, lo que puede exponer a los administrados y empresas a un serio riesgo de inseguridad, pues, aunque no exista una ley nacional, el reglamento europeo será directamente aplicable a partir del 25 de mayo, y el mismo puede entrar en contradicción con la LOPD de 1999, que en cuanto que no ha sido expresamente derogada, seguirá siendo de aplicación en todo aquello que no se oponga al reglamento europeo.

Por lo tanto, mientras en España no se apruebe la nueva ley de protección de datos, que ajuste nuestro ordenamiento al nuevo Reglamento europeo, éste prevalecerá sobre la actual LOPD española y su reglamento de aplicación, en cualquier situación que pueda existir una contradicción, y esto nos exige conocer bien las novedades que trae consigo.

¿Qué empresas estarán obligadas a cumplir con el RGPD?

El reglamento europeo se aplica todas aquellas entidades que traten datos de carácter personal que se encuentren dentro de la Unión Europea.

También se aplicarán a responsables y encargados no establecidos en la UE siempre que traten datos como consecuencia de una oferta de bienes o servicios destinados a ciudadanos de la Unión.

Cambios más importantes

Entre las múltiples novedades, vamos a destacar las más relevantes en función del impacto que tendrá en las empresas:

• Consentimiento. No se permite el consentimiento tácito, lo que obliga a todas las empresas a revisar el conjunto de cláusulas y rehacerlas. Además, este consentimiento debe ser revocable en cualquier momento. Las compañías deben asegurarse de que los datos sólo están siendo empleados para los fines para los que fueron recabados.

• Comunicación de fallos. El responsable de tratamiento deberá notificar los fallos de seguridad a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas. Este experto tendrá que contar con un sistema efectivo para realizar el reporte o para comunicar el fallo a los afectados, si existiera algún riesgo para sus derechos. Esto quiere decir, que una empresa responsable deberá ser la encargada de acusarse a sí misma de que en su propia empresa se ha producido una brecha de seguridad. Desde luego, este punto será uno de los más polémicos.

• DPO. El Data Protection Officer o delegado de protección de datos es una figura esencial en el nuevo reglamento europeo. Éste tendrá que identificar todos los posibles riesgos y buscar soluciones para solventarlos. La figura del Delegado de Protección de Datos adquiere una importancia vital, siendo obligatorio para multitud de empresas, para encargarse de garantizar el cumplimiento, notificar las violaciones de seguridad y tramitar las autorizaciones que sean necesarias. Por tanto, designar a un DPO (Data Protection Officer), será imprescindible para los organismos públicos y para aquellas empresas que traten datos personales a gran escala. Esta figura podrá formar parte de la plantilla o ser un trabajador externo.

• El régimen sancionador, se vuelve más severo, sobre todo para aquellas empresas que tenga mayor facturación, y que afectarán tanto a los responsables como a los encargados de protección de datos. Las multas podrán alcanzar hasta los 20 millones de euros o el 4% del volumen de negocios total anual del ejercicio financiero anterior.

Pese a no mencionar todas las novedades que incluye este reglamento, probablemente éstas sean las que mayor impacto tendrán en las empresas, y, por tanto, nos exige ir adaptándonos a ellas porque el próximo 25 de mayo su cumplimiento será obligatorio.

Un cordial saludo,

El proper 25 de maig comença a ser aplicable el reglament europeu de protecció de dades de 2016. L’aplicació d’aquesta norma en cadascun dels Estats membres requereix d’un desenvolupament normatiu intern que, en el cas del nostre país, encara no ha estat aprovat. El passat 10 de novembre, el Govern va aprovar el projecte de la nova Llei Orgànica de Protecció de Dades (LOPD), que va ser remès al Congrés dels Diputats. La finalitat d’aquesta norma és tant la depuració de l’ordenament nacional de la normativa interna que s’oposi al reglament com el seu desenvolupament o complement per fer plenament efectiva la seva aplicació. No obstant això, els experts dubten que la nova llei de protecció de dades estigui aprovada per a maig, la qual cosa pot exposar als administrats i empreses a un seriós risc d’inseguretat, doncs, encara que no existeixi una llei nacional, el reglament europeu serà directament aplicable a partir del 25 de maig, i el mateix pot entrar en contradicció amb la LOPD de 1999, que en tant que no ha estat expressament derogada, seguirà sent aplicable en tot allò que no s’oposi al reglament europeu.

Per tant, mentre a Espanya no s’aprovi la nova llei de protecció de dades, que ajusti el nostre ordenament al nou Reglament europeu, aquest prevaldrà sobre l’actual LOPD espanyola i el seu reglament d’aplicació, en qualsevol situació que pugui existir una contradicció, i això ens exigeix conèixer bé les novetats que porta en si.

Quines empreses estaran obligades a complir amb el RGPD?

El reglament europeu s’aplica totes aquelles entitats que tractin dades de caràcter personal que es trobin dins de la Unió Europea.

També s’aplicaran a responsables i encarregats no establerts en la UE sempre que tractin dades com a conseqüència d’una oferta de béns o serveis destinats a ciutadans de la Unió.

Canvis més importants

Entre les múltiples novetats, anem a destacar les més rellevants en funció de l’impacte que tindrà en les empreses:

• Consentiment. No es permet el consentiment tàcit, la qual cosa obliga a totes les empreses a revisar el conjunt de clàusules i refer-les. A més, aquest consentiment ha de ser revocable en qualsevol moment. Les companyies han d’assegurar-se que les dades només estan sent emprades per a les finalitats per les quals van ser recaptades.

• Comunicació de fallades. El responsable de tractament haurà de notificar les fallades de seguretat a l’Agència Espanyola de Protecció de Dades (AEPD) en un termini de 72 hores. Aquest expert haurà de comptar amb un sistema efectiu per realitzar l’informe o per comunicar la fallada als afectats, si existís algun risc per als seus drets. Això vol dir, que una empresa responsable haurà de ser l’encarregada d’acusar-se a si mateixa que en la seva pròpia empresa s’ha produït una bretxa de seguretat. Per descomptat, aquest punt serà un dels més polèmics.

• El Data Protection Officer o delegat de protecció de dades és una figura essencial en el nou reglament europeu. Aquest haurà d’identificar tots els possibles riscos i buscar solucions per solucionar-los. La figura del Delegat de Protecció de Dades adquireix una importància vital, sent obligatori per a multitud d’empreses, per encarregar-se de garantir el compliment, notificar les violacions de seguretat i tramitar les autoritzacions que siguin necessàries. Per tant, designar a un DPO (Data Protection Officer), serà imprescindible per als organismes públics i per a aquelles empreses que tractin dades personals a gran escala. Aquesta figura podrà formar part de la plantilla o ser un treballador extern.
• El règim sancionador es torna més sever, sobretot per a aquelles empreses que tinguin major facturació, i que afectaran tant als responsables com als encarregats de protecció de dades. Les multes podran arribar fins als 20 milions d’euros o el 4% del volum de negocis total anual de l’exercici financer anterior.

Malgrat no esmentar totes les novetats que inclou aquest reglament, probablement aquestes siguin les que major impacte tindran en les empreses, i, per tant, ens exigeix anar adaptant-nos a elles perquè el proper 25 de maig el seu compliment serà obligatori.

Una cordial salutació,