Desde el viernes 25 de mayo, todas las empresas y organizaciones, públicas o privadas, tendrán que aplicar el nuevo Reglamento General de Protección de Datos (RGPD), ya que no existe ningún periodo transitorio o de gracia adicional. Esta norma europea, que unifica las diferentes leyes nacionales que había hasta el momento, mantiene parte de la normativa que estaba en vigor, pero contiene obligaciones que no existían hasta la fecha. También se aplicará una nueva Ley de Protección de Datos, cuya reforma está en tramitación, que especificará y complementará ciertas partes del RGPD, pero sin modificarlo.
En esta sertie de artículos, basados en el publicado por EXPANSIÓN, se detallan las 20 claves del Reglamento y del nuevo escenario, elaboración que ha contado con contenidos de Apuntes & Consejos de Indicator y de RSM Spain.
En esta entrega abordaremos los siguientes temas:
- Afectados
- Multas
- Delegado
El primer paso para las empresas es identificar las áreas de riesgo y documentar e inventariar los tratamientos de datos personales que llevan a cabo. La Agencia Española de Protección de Datos (AEPD) ha publicado una lista de verificación y dispone de una herramienta que permite valorar la situación.
- Afectados
Todas las empresas y las organizaciones. No importa si el tratamiento de datos de carácter personal lo realiza un autónomo o una sociedad. El RGPD no realiza ninguna distinción en este sentido, por lo que quienes desarrollen una actividad empresarial, deberán cumplir con esta norma independientemente de cómo la realicen.
a) Datos personales. - Los datos personales son toda información relativa a una persona física viva identificada o identificable (no las personas jurídicas), e incluyen, por ejemplo, el nombre, los apellidos, el domicilio, la dirección de correo electrónico o los datos de localización del mapa de su móvil. Éste suele ser el caso de los datos que las empresas puedan tener sobre sus empleados, clientes o proveedores.
b) Pymes. - El Reglamento afecta a las pymes, aunque tengan muy pocos trabajadores y no contacten con consumidores finales. Si no tratan con consumidores finales, sí lo hacen con sus empleados, proveedores, etcétera con independencia de su tamaño o del volumen de datos que manejen.
c) Subcontratas. - Las empresas que prestan servicios a terceros, subcontratas o outsourcing también deben cumplir la norma. Deberán estar en condiciones de acreditar y garantizar ante sus clientes que se han adaptado y cumplen con esta norma.
d) Empresas de fuera de la UE. - Las empresas con sede fuera de la Unión Europea (UE) que hagan venta online en algunos países de Europa tendrán que cumplir con la norma. Todas las compañías que ofrezcan bienes y servicios y manejen datos de ciudadanos de la UE deben someterse al nuevo Reglamento de Protección de Datos, aunque tengan su sede fuera.
e) Auditorías. - Si una empresa tiene hecha una auditoría en protección de datos, ésta no es suficiente para adaptarse al nuevo Reglamento. “Es un buen punto de partida, pero debe tener en cuenta que el RGPD establece nuevas obligaciones. Por eso, tendrán que revisarlas y adecuar sus políticas de privacidad”, explica Life Abogados.
- Multas
Infringir la normativa se sanciona con multas económicas que pueden ser muy elevadas. En este sentido, el RGPD clasifica las infracciones en dos categorías: menos graves y más graves. El régimen sancionador se aplica a los responsables y encarga- dos del tratamiento. En cambio, no se aplica al delegado de protección de datos. Para fijar la cuantía de la sanción dentro de los márgenes establecidos para cada una de las infracciones, se tienen en cuenta una serie de criterios de graduación, como el volumen de negocio o actividad del infractor, el grado de intencionalidad, el que haya reincidencia o no, los perjuicios causados a las personas interesadas y a terceras personas, entre otros.
a) Menos graves. - Las menos graves se sancionan con hasta 10 millones de euros o el 2% del volumen de facturación anual de la empresa (la más alta de las dos).
b) Más graves. - Las más graves se sancionan con multas que pueden alcanzar hasta 20 millones de euros o el 4% del volumen de facturación anual de la empresa (la más alta de las dos).
c) Apercibimiento. - La sanción económica puede ser sustituida por un apercibimiento para que el infractor adopte las medidas correctoras que se le indiquen. Esta posibilidad es excepcional. La Agencia Española de Protección de Datos tiene potestad discrecional para aplicarla en función de la naturaleza de los hechos. Cuando la AEPD apercibe en lugar de imponer una sanción económica, el responsable del fichero o el encargado del tratamiento deberá acreditar la adopción de las medidas correctoras indicadas por la AEPD en su resolución de apercibimiento. En caso de no acreditarse el cumplimiento de estas medidas, la AEPD ordenará la apertura de un procedimiento sancionador por dicho incumplimiento, pudiendo imponer una sanción por infracción muy grave.
La AEPD ha aplicado el apercibimiento como alternativa a la sanción económica en numerosas ocasiones.Por ejemplo, por el hecho de instalar un sistema de videovigilancia en las zonas comunes de la empresa sin informar a los afectados. También por el hecho de informar a los clientes de la creación de la página web de la empresa enviándoles un correo electrónico sin copia oculta (de manera que todos los destinatarios podían ver las direcciones de los demás).
En cambio, se ha denegado elapercibimiento y se ha impuestouna multa en los casos de abandonode documentos en la vía pública; envío de comunicaciones comercialespor email o SMS sin el consentimiento previo y expreso de los destinatarios (salvo si éstos eran clientesde la empresa); envío de mensajes electrónicos a destinatarios múltiples sin copia oculta (se trataba dedatos especialmente protegidos); di- fusión en una red social del parte debaja médica de una empleada; publicidad en Internet de datos médicospor parte de una clínica (aunque setrató de un error puntual), y difusiónen Internet por parte de la empresadel currículo de un trabajador.
3 Delegado
Nombrar un delegado de protección de datos (DPD) o data protection officer es obligatorio para todas las autoridades y organismos públicos, así como para empresas que realicen una observación habitual y sistemática de las personas a gran escala o que tengan entre sus actividades principales el tratamiento de datos sensibles. También afecta a los centros docentes, operadores de telecomunicaciones, entidades financie- ras, compañías de publicidad y prospección comercial, centros sanitarios, operadores de juego y empresas de seguridad privada, entre otras.
Así, la nueva normativa europea establece, en su artículo 37, una serie de supuestos y actividades en los que será obligatorio contar con la figura del data protection officer : cuando el tratamiento de esta información se realice a través de un organismo o Administración Pública, a excepción de los tribunales; cuando la actividad principal de la empresa implique el tratamiento y observación habitual y regular de las políticas de protección de datos fijadas en el nuevo reglamento europeo, y cuando las actividades principales del encargado o la empresa consistan en el tratamiento a gran escala de datos personales (según los supuestos del artículo 9) y de aquellas informaciones y datos referidos a condenas y sanciones.
a) Certificación. - La AEPD presentó en julio de 2017, junto a la Entidad Nacional de Acreditación (ENAC), el primer esquema de certificación de DPD y, a principios de año, emitió la primera autorización a ANF AC, que podrá certificar la idoneidad de todos los expertos que aspiren a ser delegados de protección de datos.
Para que las autoridades acreditadas puedan certificar que un trabajador es adecuado, éste deberá ser capaz de recabar información para determinar las actividades de tratamiento; analizar y comprobar la conformidad de las actividades de tratamiento e informar, asesorar y emitir recomendaciones al encargado del tratamiento.
También tendrá que asesorar en la aplicación del principio de la protección de datos por diseño y por defecto; aconsejar si se debe llevar a cabo o no una evaluación de impacto de protección de datos, y qué metodología debe seguirse al efectuar este tipo de valoración. Por otro lado, deberá ser capaz de recabar información para supervisar el registro de las operaciones de tratamiento; así como priorizar sus actividades y centrar sus esfuerzos en las cuestiones que presenten mayores riesgos.
b) Requisitos. - Además de todas estas capacidades, según explica la AEPD, deberán cumplir alguno de los siguientes requisitos: justificar una experiencia profesional de, al menos, cinco años en proyectos o actividades relacionadas con las funciones del DPD en materia de protección de datos. Tener una experiencia demostrable de, al menos, tres años en proyectos o actividades y tareas relacionadas con las funciones del DPD en materia de protección de datos, y una formación mínima reconocida de 60 horas en relación con las materias incluidas en el programa del esquema; acreditar una experiencia profesional de, al menos, dos años en proyectos o actividades y tareas relacionadas con las funciones del DPD, y una formación mínima reconocida de 100 horas en relación con las materias incluidas en el programa; o, por último, justificar una formación mínima reconocida de 180 horas en relación con las materias del programa del texto elaborado por la AEPD.
El DPD puede ser alguien interno de la empresa o externo (como un asesor a quien se encargue esta función mediante un contrato de servicios). En todo caso, el DPD no puede ser cualquier persona, ya que es necesario que tenga conocimientos jurídicos y prácticos en materia de protección de datos y no se encuentre en una situación de conflicto de interés
c) Responsable y encargado. - No se debe confundir al DPD con otras figuras. El responsable del tratamiento es quien decide sobre el contenido, uso y finalidad de los tratamientos de datos. El encargado trata datos de carácter personal por cuenta del responsable.
Fuente: Diario Expansión
Autor: Mercedes Serraller