Cinco cuestiones sobre la nueva ley de protección de datos que debe hacerse todo empresario.
1. ¿Por qué todo el mundo habla de “adecuarse a la nueva ley de protección de datos”?
El pasado 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos o (RGPD), un reglamento europeo que cambia el paradigma en la regulación de protección de datos en todos los estados miembros de la Unión Europea y que es de aplicación obligatoria a partir del próximo 25 de mayo de 2018.
2. ¿Se trata de una ley de protección de datos nueva?
En puridad, no. El nuevo RGPD introduce nuevas obligaciones y derechos en materia de protección de datos y aumenta las sanciones ante el incumplimiento de la normativa a partir del próximo mes de mayo.
No obstante, en la actualidad, está en vigor la Ley Orgánica de Protección de Datos (LOPD), que establece derechos y obligaciones de obligado cumplimiento para toda entidad o persona que recabe y trate datos personales desde el año 2000.
Una normativa obligatoria pero desconocida para muchas entidades, especialmente para las pequeñas y medianas empresas.
3. ¿Qué obligaciones tiene mi empresa con la nueva ley de protección de datos?
Hasta la fecha, con carácter general, cualquier empresa que recabe datos personales de sus clientes, proveedores, colaboradores, usuarios… tales como el nombre, apellidos, correo electrónico y dirección postal, datos de infracciones penales, datos relativos a la salud u otros datos sensibles, tiene, entre otras, las siguientes obligaciones:
– Recabar los datos personales de forma consentida, lícita y legítima
– No ceder datos a terceros sin el previo consentimiento de los afectados o habilitación legal
– Informar a sus titulares de la finalidad para la que se recaban los datos
– Notificar e inscribir los ficheros de datos en la Agencia Española de Protección de Datos
– Garantizar que los titulares puedan ejercer sus derechos de acceso, rectificación, oposición y cancelación de sus datos en los términos previstos en la ley
– Suscribir contratos con los encargados de tratamiento para garantizar que éstos cumplan sus obligaciones de protección de datos
– Garantizar la confidencialidad y seguridad de los datos personales en su organización
– Cumplir con las garantías exigidas en transferencia internacional de datos en caso de cesión o comunicación de los datos a terceros que estén fuera del territorio del Espacio Económico Europeo
– Obligaciones concretas en caso de tener instaladas cámaras de videovigilancia en sus instalaciones o utilizar dispositivos GPS
El nuevo Reglamento modifica el esquema actual e introduce la responsabilidad activa de las entidades que tratan datos personales, obligándolas a adoptar medidas que aseguren razonablemente que están en condiciones de cumplir el nuevo Reglamento.
Dicha responsabilidad activa implica NUEVAS OBLIGACIONES para las entidades, tales como:
– Realizar un registro de actividades de tratamiento
– Necesidad de recoger el consentimiento expreso para el tratamiento de datos personales
– Garantizar el derecho a limitar el tratamiento de los interesados, el derecho al olvido y el derecho a la portabilidad de los datos
– Obligación de comunicar los fallos de seguridad
– Evaluación de impacto sobre la protección de datos en caso de tratamientos de alto riesgo
– Nombramiento de un Delegado de Protección de Datos (DPO) en ciertas organizaciones
4. ¿Qué pasa si no cumplo la ley de protección de datos? ¿Asumo algún tipo de riesgo?
Al margen de perjuicios como la pérdida de prestigio comercial o la insatisfacción de clientes o potenciales clientes, lo más preocupante son las sanciones que puede imponer la Agencia Española de Protección de Datos:
– Hasta mayo de 2018, las sanciones oscilan entre 900 € y 600.000 €.
– Desde mayo de 2018, las sanciones pueden llegar hasta la mayor de las siguientes cuantías: 20.000.000 € o el 4% del volumen de negocio total anual global del ejercicio financiero anterior.
Ejemplo de multas con la nueva ley de protección de datos:
Conforme a la actual LOPD, no obtener el consentimiento debido de los titulares para recoger sus datos personales está sancionado con una multa de 40.000 € a 300.000 €.
Conforme al nuevo RGPD, dicha infracción podría ser sancionada con una multa equivalente a 10.000.000 € o al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
5. ¿Qué proponemos en Carrillo Asesores para cumplir la normativa?
La adaptación de su compañía a la nueva normativa en cuatro pasos:
1º Diagnóstico inicial para valorar qué tipo de datos recaba su organización y con qué finalidad, así como para comprobar el grado de cumplimiento actual de la normativa de protección de datos.
2º Implantación jurídica de la normativa de protección de datos: adecuación de todos los procedimientos de recogida de datos y documentos físicos y online utilizados por su organización, asesoramiento sobre medidas de seguridad y evaluación de impacto, redacción del registro de actividades de tratamiento, sistemas de videovigilancia y gps, envío de comunicaciones comerciales, actualización de textos legales de su página web…
3º Formación básica a la persona de su organización que elija al objeto de fomentar el cumplimiento de la normativa y que sepa cómo actuar ante el ejercicio de derechos de los titulares de los datos personales, durante el proceso de implantación.
4º Asesoramiento telefónico en toda la fase de implantación para aclarar cualquier duda que surja.
¡Se acerca el 25 de mayo de 2018!, ¿Está su empresa preparada para cumplir la ley de protección de datos? Déjenos su comentario o consúltenos.
Cristina Pérez Marín
Abogada, especialista en Derecho Digital en Carrillo Asesores.