Somos conscientes de que si recogemos o tratamos datos personales de nuestros clientes debemos cumplir con la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, pero la cosa se nos complica con la aparición del muy nombrado Reglamento General de Protección de Datos de la UE y se nos plantean cuestiones como: ¿Qué tenemos que hacer para cumplirlo?, ¿Tal y como trato los datos actualmente me sirve para cumplir con este Reglamento?
Pues bien, lo primero que debemos de saber es que este Reglamento entró en vigor en mayo de 2016, pero no será aplicable en España hasta mayo del 2018. No obstante, deberemos ir adecuándonos a las nuevas modificaciones en este periodo.
A continuación os contamos las novedades más importantes que introduce este Reglamento y cómo debemos actuar ante ellas para poder cumplir con la normativa.
¿Quién tiene que cumplir con esta Ley?
Habrá todavía empresas que ni sepan de lo que estamos hablando y por tanto no estén cumpliendo con la normativa actual y otras que si que cumplen con la actual pero quieren saber qué tienen que hacer para cumplir con el nuevo Reglamento.
En ambos casos, toda persona física o jurídica, pública o privada, que recoja o trate datos personales desde la Unión Europea y fuera de ella, pero que tratan datos de ciudadanos residentes en los países miembros de la UE, debe cumplir con esta Ley.
Por tanto, un profesional, un autónomo y los servicios y las empresas, tanto públicas como privadas, si recogen datos personales, como los que pueden ser: nombre, dni, domicilio, email o datos de salud, entre otros; deben aplicar esta normativa.
Fijación del principio de responsabilidad proactiva
El Reglamento explica este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
Por tanto, lo que el Reglamento exige es que las empresas tengan una actitud consciente, diligente y proactiva del tratamiento de sus datos, pudiendo demostrar, si llegara el caso, su conocimiento ante el tratamiento de los mismos y a las medidas de seguridad aplicadas.
Consentimiento inequívoco y explicito.
En la Ley de Protección de Datos se exige que a la hora de recoger datos el consentimiento sea inequívoco, pero se permitía tanto expreso como tácito. En cambio, en el Reglamento se elimina el consentimiento tácito quedando solo válido el consentimiento expreso, es decir, que no se puede dar por omisión sino por una clara acción afirmativa o una manifestación del interesado.
Como recomendación debemos aconsejar que ya no se realice ningún consentimiento tácito y que todos sean expresos, para que así cuando sea de aplicación el Reglamento se esté completamente adecuado en este aspecto.
Deber de información
En la antigua Ley se establecía que a la hora de recoger el consentimiento de los interesados se les debía informar de la persona responsable del fichero, de la existencia de los ficheros inscritos, de la finalidad de la recogida de los datos y de la posibilidad de ejercitar los Derechos ARCO.
Pues bien, en el Reglamento, además de los datos nombrados anteriormente, se exige que se tenga que explicar la base legal para el tratamiento, el periodo de conservación, la posibilidad de reclamaciones y los demás derechos que se incorporan.
Añadido a lo anterior, el reglamento exige que la información se proporcione de manera clara, por escrito y precisa.
Es aconsejable revisar las clausulas informativas, no solo online sino también off line, con un especialista y completar los apartados que exige el reglamento.
Nuevos derechos
La Ley Orgánica de Protección de Datos establecía 4 derechos para los interesados: Acceso, Rectificación, Cancelación y Oposición.
Pues bien, con el nuevo Reglamento esta lista se amplia y se añaden el derecho a la transparencia de la información, derecho al olvido, derecho de limitación y derecho de portabilidad. Este último es muy importante y consiste en que toda persona tiene derecho a llevarse por escrito los datos que tiene la empresa de él.
Además de incorporar estos nuevos derechos, también se exige que se creen procedimientos para gestionar las solicitudes.
Recomendamos ir creando el procedimiento de gestión de solicitudes y revisando e incorporando los nuevos derechos.
Evaluación de impacto
Esta figura que introduce el Reglamento es totalmente novedosa y consiste en realizar una evaluación de impacto en aquellas empresas que realicen tratamientos de datos que impliquen un alto riesgo para los derechos y libertades de las personas.
En este procedimiento se evalúa el origen, naturaleza y la gravedad del riesgo de cada empresa.
Nueva figura: El delegado de protección de datos
El Reglamento incorpora otra nueva figura: El delegado de protección de datos. Esta persona es el asesor de protección de datos de la empresa y asume competencias en materia de coordinación y control del cumplimiento de la normativa en materia de protección de datos.
Esta figura no es obligatoria para todas las organizaciones, solo tendrán que contar con este delegado las empresas públicas, las que tengan un tratamiento a gran escala o las que recojan datos especialmente sensibles o relativos a condenas o infracciones penales.
Registro de Actividades
Otra novedad con la que no contábamos en la Ley Orgánica de Protección de Datos y que incorpora el Reglamento es el registro de actividades. Esto consiste en que aquellas organizaciones que traten datos de riesgo para la privacidad de los interesados o datos sensibles deben realizar un documento donde se recoja los tipos de tratamientos que se realizan, los datos personales que se recogen, los destinatarios, la finalidad del tratamiento y las medidas de seguridad adoptadas.
Es recomendable que aquellas empresas que se encuentren entre las que deben cumplir con este registro se pongan en marcha en la redacción del mismo. Para ello, es aconsejable contactar con un especialista en la materia.
Sanciones más altas
Hasta mayo de 2018 las sanciones pueden ir desde 900 euros hasta 600.000. A partir de esta fecha aumentan dichas sanciones, pudiendo la autoridad competente imponer multas de hasta 20 millones de euros o de hasta el 4% del volumen de negocio del infractor.
Estas son solo algunas de las numerosas novedades que incorpora el nuevo Reglamento de Protección de Datos. Aconsejamos contactar con un especialista en esta materia para poder adecuarse correctamente ante esta normativa.