GDPR: un paso más hacia el compliance y la autorregulación de las empresas
26 Nov

GDPR: un paso más hacia el compliance y la autorregulación de las empresas

0 Comentarios

Comienza la cuenta atrás para la aplicación del Reglamento General de Protección de Datos (GDPR) de la UE, Reglamento UE 2016/679, que entró en vigor desde el pasado 25 de mayo de 2016, pero cuya aplicación se aplazó para el próximo 25 de mayo de 2018.

 

Con el fin de que nuestra legislación se adapte a la nueva regulación comunitaria el Gobierno ha impulsado unAnteproyecto de Ley Orgánica que sustituirá a la actual LOPD, (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal), y adaptará nuestro sistema al de los países de la Unión.

Cuando hablamos de la protección de las personas físicas en relación con el tratamiento de datos personales nos referimos a que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernen, hablamos de un Derecho Fundamental, recogido en la Carta de los Derechos Fundamentales de la Unión Europea (artículo 8 apartado 1º) en el Tratado de Funcionamiento de la Unión Europea (artículo 16 apartado 1º y, dentro del ordenamiento español, nuestra Carta Magna también ha otorgado esa protección como Derecho Fundamental recogido en el artículo 18. Actualmente dicho artículo viene desarrollado por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, un derecho que puede quedar cada vez más expuesto en el tráfico e intercambio de datos en la era tecnológica en la que nos encontramos y hacia la que nos dirigimos, de ahí la importancia de una regulación más adecuada y unificada a nivel europeo y, como veremos, fuera de las fronteras europeas, cuando se trate con datos de ciudadanos de la Unión.

Tanto la Directiva 95/46 como las normas nacionales que la trasponen, siguen siendo plenamente válidas y aplicables hasta la fecha deaplicación del nuevo Reglamento, pero debemos dar un paso adelante e informarnos acerca de las novedades que se introducirán a fin de tenerlas en cuenta a la hora de elaborar e implantar en la empresa un procedimiento que se adapte a las nuevas obligaciones legales. 

1.- A QUIEN SE DIRIGE.

La nueva normativa europea exige un mayor compromiso por parte de las empresas y aportará más herramientas de control en beneficio de los ciudadanos, otorgando a éstos últimos plena protección en relación al "respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística" (Consideración 2ª del Reglamento).

El Reglamento se dirige a responsables de tratamiento de datos de carácter personal que traten datos como consecuencia de una oferta de bienes o servicios destinados a ciudadanos de la Unión sin importar si se encuentran dentro o fuera de la UE. Esta directiva afectará a todas las empresas de Europa que manejen información personal de cualquier tipo. También afectará a cualquier empresa que realice negocios en la UE

Las organizaciones que se encuentren fuera de  la UE deberán designar un delegado en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos. Por ello, es necesario conocer los requisitos que debe cumplir cada empresa para adaptarse a la nueva normativa.

2.- QUE IMPLICA

Las sociedades han de revisar todos los procesos y sistemas de la empresa que tratan datos personales y establecer procedimientos internos específicos adaptados a cada organización, que permitan su difusión e implantación.

Los antiguos e inutilizados manuales de LOPD que muchas empresas tienen olvidado en un  rincón, carecerán de toda utilidad a raíz del mes de mayo, si es que alguna vez la tuvieron.

Este documento no sirve para garantizar la seguridad de uno de los activos más valiosos: la información y los datos personales de los trabajadores de la empresa, de clientes y proveedores. La norma exige la auto-responsabilidad proactiva acreditable, es decir, obligarnos a cumplir, hacer un seguimiento y vigilancia y así poder acreditar que cumplimos.

Es necesario, conocer el grado de adaptación de la empresa al GDPR, analizando uno por uno todas la bases y medios de transmisión de datos que se traten en las diversas áreas productivas o de gestión de la organización; hay que analizar el grado de implantación de las medidas que garanticen la seguridad de los datos tratados; conocer los riesgos, y evaluar sus consecuencias, así como el impacto económico y reputacional.

3.- PRINCIPALES NOVEDADES

  • Se da la posibilidad a los herederos de poder acceder, así como rectificar o suprimir datos de los fallecidos y también prevé que el titular de los datos, antes de su muerte, pueda indicar la prohibición expresa al acceso a esta información personal por sus herederos.
  • Se sustituye el "consentimiento tácito" por el consentimiento libre, inequívoco e informado.
  • Se modifica la edad a partir de la cual elmenor puede prestar su consentimientopara asimilar el sistema español al de otros Estados de nuestro entorno, fijándola en trece años (antes 14).
  • Asimismo, prevé que, en el marco de un proceso de negociación o formalización de un contrato, la inclusión de una casilla específica (sin marcar) sea suficiente para garantizar el requisito de consentimiento expreso, aunque el fin del tratamiento de los datos en el caso concreto no tenga relación directa con la contratación.
  • El borrador español también desarrolla el asunto de los ficheros de morosidad, estableciendo que no podrán entrar en esta lista las deudas que sean inferiores a los 50 euros y éstas deberán ser eliminadas del fichero.
  • El texto también contempla el asunto de la videovigilancia en el ámbito laboral. Será suficiente la colocación de carteles de videovigilancia en las instalaciones de la empresa para legitimar la captación de imágenes.
  • El art. 37 del Reglamento introduce la figura deldelegado de protección de datos, DPO o complianceofficer", una nueva figura, que puede ser interna o externa, encargada de informar acerca de las obligaciones, supervisar su cumplimiento, cooperar con la autoridad de control, etc.
  • Se regula un "Procedimiento en caso de reclamaciones tramitadas por la Agencia Española de Protección de Datos". Se establece unmodelo de "ventanilla única"(One Stop Shop) en el que existe una autoridad de control principal y otras autoridades subsidiarias. También se establece un procedimiento de cooperación entre autoridades de los Estados miembros y, en caso de discrepancia, se prevé la decisión vinculante del Comité Europeo de Protección de Datos.
  • Por otro lado, los artículos 33 y 34 del Reglamento obligan a las empresas que sufran una violación de seguridad a denunciar las mismas en un plazo de 72 horas, además de comunicar la misma a los usuarios, clientes o empresas afectadas.
  • El nuevo reglamento confiere al interesado la posibilidad de "otorgar y retirar su consentimiento con la misma facilidad para una acción u otra" y comprende, a su vez, comprende otros derechos que se entienden inherentes a la protección de datos, tales como;
    • El derecho de Transparencia (art. 12) ; se establece que la información proporcionada sea fácil de entender, en un lenguaje simple y claro. 
    • Información (arts. 13 a 14); El encargado del tratamiento de datos deberá facilitar toda la información necesaria inherente al proceso de tratamiento de datos del caso concreto, incluyendo la identidad de la persona encargada de dicho tratamiento,  y los derechos que asisten a la persona en esta materia.
    • Acceso (art. 15); El interesado tendrá derecho a solicitar y obtener información acerca del tratamiento de sus datos en cualquier momento, de acuerdo con las facultades que confiere este artículo.
    • Supresión o derecho al olvido (art. 17); Este artículo otorga al interesado al facultad de solicitar al encargado del tratamiento de sus datos la supresión de los mismos sin dilaciones indebida.
    • Limitación del tratamiento (art. 18), El interesada podrá limitar el tratamiento de sus datos, por lo que, en caso de ser conservados bajo el consentimiento del interesado, solo podrán utilizarse para ejercitar acciones de reclamación o con el fin de proteger derechos de terceros y, en todo caso, deberá informarse al interesado en caso de levantamiento de la limitación.
    • Portabilidad de datos (art. 20) El interesado podrá, en virtud del art 20 del Reglamento, solicitar la portabilidad de los datos personales facilitados a un responsable de tratamiento de datos para transferirlos a otro sin que el primero puedo impedirlo, salvo fuerza mayor.
  • Se establece una lista exhaustiva de la información que debe proporcionarse a los interesados (más amplia que la que actualmente contiene la LOPD).
  • Se protege la posibilidad de que las denuncias se realicen de forma anónima estableciendo plazos de conservación e imponiendo obligaciones respecto a la confidencialidad de los datos.
  • En cuanto a las sanciones, también surgen novedades;
    • Se incrementan "el número de infracciones tipificadas con respecto a las ya incluidas en la actual LOPD de tal modo que las leves pasan de ser 4 a ser 19; las graves, de 11 a 28; y las muy graves 16. 
    • Los responsables de las administraciones públicas que cometan una infracción contra la protección de datos no serán sancionados, sino que simplemente serán apercibidos, y si se tratara de un caso grave, se iniciarían acciones disciplinarias.
    • El no cumplimiento puede conllevar multas de hasta 20 millones euros o un 4 por ciento de la facturación anual de la empresa.

4.- TRÁFICO E INTERCAMBIO DE DATOS FUERA DE LA UE

Se confía en que la Comisión Europea adopte una resolución que de más fluidez a las transferencias internacionales de datos entre la UE y EE.UU (Privacy Shield) y, por otro lado, en relación a la salida del Reino Unido de la UE, la situación aún es difícil de determinar. En este caso el Reino Unido tendría libertad para elegir su propia normativa de Protección de Datos pero las empresas estarían obligadas a cumplir la legislación de la UE. La normativa europea no permite acumular datos personales de sus ciudadanos en otros países que no formen parte de la Unión, salvo en 11, entre los que están Suiza, Nueva Zelanda e Israel, a los que consideran que sus modelos de protección son "adecuados".

5.- AUTOREGULACION: MEDICIÓN DEL RIESGO Y DEL IMPACTO.El Reglamento General de Protección de Datos de 25 de mayo de 2016 presenta un requisito indispensable en aras de establecer el control y la organización como un pilar básico y prioritario en el desarrollo de las actividades empresariales por el cual todas las organizaciones y empresas que tratan datos deben efectuar un análisis de riesgo de sus tratamientos para poder establecer qué medidas han de aplicar y cómo hacerlo, sería un Compliance hecho a medida o "made to measure" o "by design", adaptado a las particularidades, riesgos y necesidades de la compañía y, además, deberá acreditar fehacientemente mediante prueba el cumplimiento de la normativa al entender que actuar únicamente cuando ya ha tenido lugar la infracción no es suficiente como estrategia, debido a que esa infracción puede ocasionar daños a los interesados que pueden ser muy complicado compensar o reparar (arts. 25, 26, 40 y 41 del Reglamento).

Esta nueva normativa está íntimamente relacionada con la última reforma del Código Penal en 2015. Aunque  las personas jurídicas ya podían ser responsables de un delito desde 2010, la reforma penal desde julio de 2015 detalla y aclara detalles imprecisos de la normativa anterior establecimiento un cambio de actuación claro que exime de responsabilidad a la persona jurídica. Muchos de los delitos enunciados en el catálogo de imputables a la persona jurídica guardan una clara relación con la protección de datos de carácter personal, tanto en relación al consumo, seguridad informática, entre otros.

Conviene también recordar que, hasta el momento si un empleado incurre en infracción o delito en materia de protección de datos, beneficiándose  la empresa de un modo u otro, ésta también puede ser responsable; pero con la nueva normativa, se eximiría a la empresa de responsabilidad si previamente había implantado un correcto plan de riesgos, evitando así, como consecuencia más inmediata y habitual, elevadas sanciones económicas que pueden culminar con el cierre de la empresa.

 

 

 

OPINIÓN

BLOGS

 FACEBOOK

 TWITTER

 LINKEDIN

 RSS

 

CONTACTO

AVISO LEGAL

QUIENES SOMOS

MAPA WEB

ENLACES

© EDITORIAL ARANZADI S.A.U