La mayor parte de las empresas, incluso las de menor tamaño, tienen ya asumidas sus obligaciones en materia de protección de datos e implantados los protocolos que les corresponden en aplicación de la LOPD de 1999 y su Reglamento de 2007.
No obstante, muchas no saben aún que el 25 de mayo de 2016 entró en vigor el Reglamento europeo de Protección de Datos, una norma directamente aplicable, que no requiere transposición, y que por tanto a partir de ahora debe considerarse la normativa de referencia en esta materia.
La mala noticia para los responsables del tratamiento de datos personales es que ahora es necesario revisar esos protocolos y adaptarse a la nueva normativa. La buena es que hay tiempo hasta el 25 de mayo de 2018, fecha en que deviene obligatorio el Reglamento europeo, y que tiene muchas similitudes con la regulación española, por lo que para pequeñas y medianas empresas la adecuación puede hacerse sin traumas ni excesivos esfuerzos siempre que se inicie el proceso con tiempo suficiente y el asesoramiento adecuado. Atención, hay excepciones significativas, determinadas acciones deberán llevarse a cabo durante el periodo que resta hasta mayo de 2018, un ejemplo importante es la adaptación del modo de obtención del consentimiento.
En este primer post sobre la cuestión daremos unas breves pinceladas para aproximar el nuevo Reglamento a nuestros lectores y que puedan hacerse una idea general de las principales modificaciones que comporta respecto a la anterior regulación:
Se aumenta la cuantía de las sanciones – el fin es evitar que a ciertas empresas les compense vulnerar las normas de protección, y para ello se calcularán las sanciones como un porcentaje de los ingresos de explotación.
Se crea la figura del delegado de protección de datos (dpo en inglés, data protection officer) – sólo para empresas de más de 250 trabajadores.
Se regula el derecho al olvido.
Se complica la clasificación de los diferentes grados de protección, frente a la relativamente simple de tres niveles que se manejaba hasta ahora.
La obtención del consentimiento es más exigente: El consentimiento debe ser “inequívoco”, prestado mediante una manifestación del interesado o mediante una clara acción afirmativa, no se admiten formas de consentimiento tácito o por omisión, y se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito, como el tratamiento de datos sensibles o la adopción de decisiones automatizadas. Los tratamientos iniciados con anterioridad al inicio de la aplicación del Reglamento europeo sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa, de lo contrario habrá que recabar el consentimiento conforme a la nueva normativa.
La exigencia para los responsables que derivan el tratamiento en terceros encargados también es mayor, ya no basta con descargar la responsabilidad en el subcontratista, sino que el principio de responsabilidad proactiva exige que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento; esto implica analizar los datos que se tratan, con qué finalidad y qué tipo de operaciones de tratamiento se llevan a cabo y asegurarse de que esas medidas son las adecuadas para cumplir con el Reglamento, y además poder demostrarlo ante los interesados y ante las autoridades de supervisión.
Seguiremos analizando el nuevo Reglamento en posteriores artículos. No duden en contactarnos si precisan asesoramiento para adaptarse a la nueva regulación.