GDPR, Fecha límite, 25 de Mayo de 2018
En mayo de 2016, la Unión Europea presentó el GDPR, el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, conocido por sus siglas en inglés, General Data Protection Regulation, es decir el nuevo reglamento general de protección de datos de carácter personal. Esta ley viene a regular como norma general, sustituyendo o complementando la normativa nacional de cada Estado miembro en esta materia.
El espíritu de la presente ley es dar a la ciudadanía Europea una mayor protección y control sobre su información privada, por lo que obliga a las empresas a adaptarse y asegurar el almacenamiento de información sensible en toda la comunidad europea.
GDPR, Fecha límite, 25 de Mayo de 2018
En mayo de 2016, la Unión Europea presentó el GDPR, el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, conocido por sus siglas en inglés, General Data Protection Regulation, es decir el nuevo reglamento general de protección de datos de carácter personal. Esta ley viene a regular como norma general, sustituyendo o complementando la normativa nacional de cada Estado miembro en esta materia.
El espíritu de la presente ley es dar a la ciudadanía Europea una mayor protección y control sobre su información privada, por lo que obliga a las empresas a adaptarse y asegurar el almacenamiento de información sensible en toda la comunidad europea.
En efecto, el 25 de mayo de 2018, esa es la fecha límite que tenemos todos y cada uno de nosotros, de todos aquellos que tratamos datos de carácter personal de terceros, para adaptarnos a la nueva regulación y al mandato de esta; este es el periodo de adaptación que se estableció en la propia ley, momento en que entrará en vigor y resultará de plena aplicación.
El nuevo Reglamento General de Protección de Datos entró en vigor 20 días después de su publicación en el Diario Oficial de la Unión Europea el 4 de mayo de 2016 y se aplicará efectivamente en todos los Estados miembros, incluida España, a partir del 25 de mayo de 2018.
Esta ley afecta a toda empresa o autónomo que almacene o recolecte datos de personas físicas, como podrían ser sus empleados, sus clientes, o el curriculum vitae de candidatos. Quedarían exentas de su aplicación aquellas empresas que solo almacenaran datos de otras empresas, pero hoy en día, que únicamente almacenen esos datos en exclusiva son las menos.
En el caso de España, esta ley no deroga nuestra actual LOPD 15/1999, de 13 de diciembre (Ley Orgánica de Protección de Datos de carácter personal) que entró en vigor el año 1999, sino que la complementa. Esta ley viene a desarrollar el art. 18 de la Constitución española que regula el derecho a la intimidad personal y familiar, y el secreto a las comunicaciones.
Las principales novedades que nos reportará esta ley supranacional son las siguientes,
Hasta ahora y a través de la LOPD, todo usuario, cliente o persona que figure en uno de nuestros archivos tiene una serie de derechos conocidos como ARCO; a saber, Acceso a los Datos, Rectificación de los mismos, Cancelación de los registros y Oposición al uso de los mismos para determinados fines, entre otros, los publicitarios. La LOPD garantiza asimismo que nuestros datos sean corregidos, si han variado los motivos de su inserción y previa acreditación de modificación, en un plazo breve de las bases de datos en que figuren, para evitar daños a las personas ahí incluidas, (por ejemplo borrarnos de una lista de morosos en la que por desidia no se nos eliminó en su momento).
Como novedad no recogida en nuestra anterior legislación, se recoge la noción del derecho al olvido, es decir, mediante el cual podemos solicitar la supresión o rectificación de datos personales en internet, o el derecho a la portabilidad de los mismos. Regulado por el artículo 17 del texto. El Reglamento dispone que: “El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales”
Otra de las grandes novedades de la GDPR es la creación de la figura del DPO (Data Protection Officer), que tiene que ser incorporada en determinadas empresas, en aquellas de mayor tamaño (+250 empleados) o en aquellas donde el tratamiento de los datos sea el eje central de su estrategia empresarial (en cuyo caso toda empresa que desarrolle su actividad en dicho sector, independientemente de su tamaño, estaría obligada a la inclusión de esta figura).
Hasta el momento parecía algo laxa la aplicación de la LOPD, que no lo era, dado que se han llegado a imponer sanciones en su periodo de aplicación individual, de extrema gravedad que pueden hacer tambalear a cualquier PYME; pero es que ahora, el rigor aumenta considerablemente como veremos.
A partir de ahora tendremos que cambiar nuestra mentalidad en la aplicación de esta normativa, lo cual conllevará una serie de obligaciones, que deberemos cumplir tanto si operamos a nivel profesional como empresarial.
Hasta el momento, la LOPD exigía proteger los datos con la toma de determinadas medidas de seguridad, pero a partir de la aplicación de la GDPR, ordena un más estricto y eficaz control de la seguridad en el tratamiento de los datos de carácter personal de terceras personas.
Cambios,
• Las empresas deben custodiar la información de las personas físicas adecuadamente, es decir, deben mantener una organización y gestión lógica de los datos, protegiendo la información de pérdidas. Por lo que las copias de seguridad pasan a ser obligatorias.
• Esta organización deberá facilitar la auditoría y evaluación de impacto sobre la protección.
• Los datos han de estar debidamente protegidos de accesos, intrusiones o eliminación con las medidas de seguridad y cifrado pertinentes.
• Si hubiera una fuga de información la organización afectada tendrá que dar aviso al organismo supervisor de la UE de la fuga antes de 72h.
Pues sí, lo que hasta ahora se venía haciendo (los que lo hacían) de una forma más o menos práctica y esporádica, como son las copias de seguridad, ahora se hace imprescindible la realización de una copia interna y otra en servidores externos, dado que los ciberataques podrían acabar con las copias de los servidores internos, se busca mayor seguridad y fiabilidad.
Deviene en obligatorio el cifrado de la información, pensado para el caso de la perdida de información, que ésta no pudiera ser usada fraudulentamente, y para la transmisión de esta a través de la red.
Respecto al régimen sancionador, también encontramos en la GDPR, una modificación sustancial que puede concretarse en lo siguiente:
Cita el preámbulo del nuevo Reglamento General de Protección de Datos. Para “la aplicación de las normas del presente Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del presente Reglamento, o en sustitución de estas”. Los Estados miembros “deben tener la posibilidad de establecer normas en materia de sanciones penales por infracciones del presente Reglamento, incluidas las infracciones de normas nacionales adoptadas con arreglo a él y dentro de sus límites. Dichas sanciones penales pueden asimismo autorizar la privación de los beneficios obtenidos en infracción del presente Reglamento”.
De forma específica y por su importancia, cabe comenzar mencionando el sustancial incremento del importe de las sanciones pecuniarias en aquellos casos en los que se incurra en una infracción tipificada en el RGPD.
La LOPD, concretamente en su artículo 44, regula tres grados de infracción: leve, grave y muy grave. Cada una de ellas prevé un rango de sanciones diferente que variará dependiendo de la graduación anteriormente mencionada. Específicamente, las infracciones leves se enfrentan a sanciones entre 601,01 € y 60.101,21 €, las infracciones graves a sanciones entre 60.101,21 € y 300.506,25 €, y por último, las infracciones muy graves se enfrentan a sanciones entre 300.506,25 € y 601.012,1 €.
Merece especial mención el art. 83 en sus apartados 4 y 5, que sin hacer mención específica a cuantías mínimas, prevé la posibilidad de sancionar las infracciones cometidas con respecto al tratamiento de datos de carácter personal con multas administrativas de 10.000.000 o 20.000.000 de euros, o en el caso de que se trate de una empresa, de una cuantía equivalente al 2% o al 4% como máximo del volumen de negocio anual global del ejercicio financiero anterior, optándose por la de mayor cuantía
Además de lo anterior, el RGPD, permite a los Estados miembros establecer normas en materia de sanciones penales por infracciones del RGPD, que pueden, incluso, suponer la privación de los beneficios obtenidos a consecuencia del tratamiento llevado a cabo, incumpliendo con lo dispuesto en la normativa.
En definitiva, poco tiempo queda a empresa, empresarios y profesionales para adaptarse a la nueva regulación europea, que nos posicionará en un ámbito de mayor transparencia y seguridad, que redundará en una mayor confianza del cliente respecto de la prestación de servicios profesionales.
Javier García Mallol
Abogado
Tesorero de la Comisión de Justicia Penal Internacional del ICAB
Miembro del Colegio de Abogados Penal Internacional
Secretario General de la Asociación Nacional de Profesionales Inmobiliarios, Financieros y Fiscales