El Reglamento General de Protección de Datos (RGPD) entrará en vigor a partir del próximo 25 de mayo, con un impacto muy fuerte en las empresas que se manejen con datos personales.
En este artículo se presenta a todos los interesados un resumen sobre el contenido del nuevo reglamento, especialmente en lo relativo a empresas españolas. El propósito es que sirva como guía a todos aquellos directores y empleados de empresas que, directa o indirectamente, esté relacionados con la protección de datos de carácter personal.
¿Qué es el RGPD?
El Reglamento General de Protección de Datos fue aprobado en mayo de 2016 por el Parlamento Europeo y el Consejo, principalmente con la necesidad de unificar las regulaciones de los estados miembros en este tema, además de introducir ciertas novedades relacionadas con las novedades del mundo digital.
Aprobado bajo el número 2016/679, su nombre completo es reglamento “relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE”.
Resumen de cambios: RGPD vs. LOPD
Para conocer mejor el nuevo reglamento general, es positivo realizar una comparación con la norma “madre” sobre protección de datos personales en España: la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.
Vale aclarar que la vigencia del Reglamento General no deroga automáticamente a la LOPD española en la medida en que sus normas sean compatibles. Es decir, mientras no haya incompatibilidades, las normas coexistirán.
Ahora bien, ¿cuáles son las principales modificaciones y novedades que introduce el Reglamento General de Protección de Datos? A nuestro criterio, es indispensable conocer las siguientes:
1. Nuevos principios
Se introducen tres principios fundamentales que regirán el tratamiento:
Responsabilidad (accountability): se exige a todas las organizaciones, públicas y privadas, que adopten en todos sus niveles una actitud proactiva, diligente y consciente en el tratamiento de datos. Las empresas deben ser capaces de demostrar que cumplen con los nuevos requerimientos, lo que las llevará a implementar políticas internas y mecanismos de control.
Protección de datos por defecto y desde el diseño: las medidas destinadas a protección de datos deberán ser desarrolladas y aplicadas desde el inicio mismo de la empresa o actividad de tratamiento.
Transparencia: la información sobre tratamiento de datos personales (por ejemplo, avisos y políticas de privacidad) deberá ser más sencilla y comprensible para el usuario.
2. Nuevos derechos
Los derechos a favor de las personas físicas cuyos datos se traten han sido reforzados y renovados, como se indica a continuación.
– Consentimiento inequívoco: se requiere una aceptación expresa y consciente de la persona autorizando el tratamiento de sus datos personales (adiós al consentimiento tácito).
– Derecho al olvido, desarrollando a partir de cierta jurisprudencia europea, especial en casos iniciados contra Google, consiste esencialmente en los derechos de cancelación u oposición en el entorno online.
– Derecho de acceso: implica que las personas físicas, en caso de que sus datos personales estén siendo tratados, puedan acceder a los mismos y obtener información sobre: (i) finalidad del tratamiento; (ii) destinatarios de los datos; (iii) plazo de conservación, entre otros.
– Portabilidad: los interesados tienen derecho a recibir los datos personales que hayan suministrado a un responsable, en un formato legible y ordenado. También pueden transmitir esos datos a otro proveedor.
– Denuncias e indemnizaciones: las personas pueden presentar denuncias a responsables a través de asociaciones de usuarios. Además, tienen derecho a reclamar indemnizaciones por los daños y perjuicios derivados de tratamientos llevados a cabo en forma ilícita.
3. Sanciones
Las sanciones establecidas por el reglamento europeo son más rigurosas. La LOPD establecía multas económicas desde 900 euros y llegando a los 600 000 en los casos de mayor gravedad.
Sin embargo, en el reglamento europeo se establecen criterios de proporcionalidad en base a la facturación de la empresa. Así, las organizaciones pueden llegar a pagar en concepto de multa sumas de hasta el 4 % de la facturación global anual con un tope máximo de 20 millones de euros. Sin duda, hay una gran diferencia.
4. La figura del delegado
Otro aspecto destacado del reglamento general es la creación de una figura novedosa: el Delegado de Protección de Datos. Se trata de una persona con experiencia y conocimiento en la materia, que obligatoriamente deberá ser designada por organismos públicos y por empresas que realicen tratamiento de datos personales a gran escala. Actuará con total autonomía de la autoridad de control (Agencia Española de Protección de Datos).
Entre sus funciones más relevantes se encuentran las de informar obligaciones que tiene a cargo el responsable del tratamiento de los datos en la empresa, supervisar que cumpla con las políticas y obligaciones a su cargo y también ofrecer su asesoramiento respecto de decisiones y acciones que la organización ejecute en materia de protección de datos.
¿Cómo deben las empresas cumplir con el RGPD? Las funciones de los diferentes departamentos
Desde luego, en todas las empresas que traten datos de carácter personal, los representantes y los responsables del tratamiento deberán contar con la capacitación suficiente sobre sus obligaciones y la eventual consecuencia de sus acciones. Lo mismo para todos los empleados de la empresa que tengan acceso a la información.
En particular, es necesario que las diferentes áreas cumplan con los siguientes mandatos:
– RRHH: es una oportunidad para reforzar los niveles de seguridad en cuanto al tratamiento de datos, tanto de empleados de la empresa como de clientes. Ha de considerarse especialmente esta circunstancia en los procesos de selección de personal: los candidatos deben contar con los derechos que hemos mencionado anteriormente.
– Marketing: los integrantes de esta área deben asegurar que en el momento del consentimiento se hayan explicado debidamente las finalidades y las modalidades del tratamiento de datos.
– Legal: sin dudas, la función de asesoramiento y control que pueden cumplir los abogados con respecto al resto de las áreas es fundamental. Este departamento debe chequear cuestiones como el tratamiento de las solicitudes, la documentación de los procesos, la adecuación de los tiempos de respuesta y la publicación de las políticas.
– Finanzas: el RGPD impacta sobre los certificados digitales personales (por ejemplo, Single Euro Payments Area). Por ello, los departamentos de finanzas asegurarán que los certificados e identificadores digitales sean seguros. También identificar claramente las multas aplicables y los planes de riesgo.
