RGPD

Reglamento General de Protección de Datos UE 2016/679

El RGPD es de obligado cumplimiento desde el pasado 25 de mayo de 2018

La política de protección de datos ya no es una opción para las empresas o entidades públicas, sino una obligación que no se puede eludir so pena de recibir cuantiosas sanciones que pueden alcanzar los 20 millones de euros.

La implementación del Reglamento Europeo de Protección de Datos; RGPD, introduce unos nuevos supuestos que es importante conocer y que complementan lo que ya establecía la Ley Orgánica de Protección de Datos (LOPD). Además, no hay que olvidar las obligaciones de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE).

Los servicios de consultoría en protección de datos de NETConseil pueden hacer mucho por las empresas, puesto que permiten implementar la nueva normativa con garantías de éxito. Por una parte, se responderá con rapidez ante esta nueva situación, mientras que, por la otra, sabremos cómo adaptarnos ante unos supuestos que, en ocasiones, resultan complejos. El asesoramiento es la mejor alternativa para evitar problemas en un futuro derivados de no cumplir correctamente con lo que establece la ley. Aunque el periodo de adaptación ha sido largo, existen muchas compañías que desconocen sus obligaciones.

En NETConseil ofrecemos un servicio integral de consultoría de protección de datos y somos expertos en aconsejar y ayudar a pequeñas empresas, tiendas online y autónomos para implementar con éxito la normativa de protección de datos. Nos adaptamos a los diferentes casos para dar soluciones personalizadas.

El Reglamento Europeo de Protección de Datos; RGPD es la principal referencia que las empresas y particulares tienen que conocer en lo referente al uso y tratamiento de los datos personales. Si bien la nueva normativa incluye varios de los preceptos ya existentes en la Ley Orgánica de Protección de Datos (LOPD) de 1999, en este caso se introducen nuevos supuestos.

El objetivo declarado de la nueva normativa es reforzar la seguridad de los usuarios y garantizar un uso correcto de los datos, ahondando en la autorregulación de los responsables del tratamiento. Este es el motivo por el que se crean figuras de supervisión como el Delegado de Protección de Datos (DPD/DPO), de adopción obligatoria en según qué empresas y entidades que traten datos personales.

Es conveniente que conozcamos las novedades que introduce la normativa en cuanto a los principios de tratamiento de datos, derechos y obligaciones para empresas y usuarios. Aunque el texto se promulgó el 2016, desde el pasado 25 de mayo de 2018 la adopción es obligatoria para todas las empresas y administraciones que realicen un tratamiento de datos.

Por lo tanto, y para una aplicación consciente de la nueva normativa, hay que saber cuáles son los principios que establece la normativa, las diferencias con respecto a la LOPD y el régimen sancionador.

1. Principios básicos del nuevo reglamento

En el artículo 5 se enumeran los principios básicos que rigen en el RGPD, de obligado cumplimiento para las empresas y entidades que realicen un uso de datos.

Estos apartados son:

- Licitud, lealtad y transparencia.

El principio de licitud, lealtad y transparencia se refiere a que el tratamiento de recogida de datos se tiene que realizar por medios legales, con consentimiento por parte del interesado e informando del hecho y del tratamiento. Tan solo en el caso de interés legítimo habría espacio para la utilización de datos sin consentimiento. En caso de duda, el responsable tendrá que actuar teniendo en cuenta los derechos del usuario y priorizando esta cuestión por encima de otras.

Por otra parte, hay que recordar que para que el tratamiento de los datos sea legal el consentimiento ha de ser explícito, por escrito y notificado.

- Limitación de la finalidad.

El segundo principio es el de la limitación de la finalidad. En este caso, el RGPD obliga a limitar el uso de los datos a aquello para lo que se le han pedido al usuario, absteniéndose de utilizarlos para otras funciones. No se puede realizar un uso indiscriminado de la información facilitada, excepto en casos de interés público que contempla el artículo 89 limitados a personajes públicos, información o investigaciones estadísticas, históricas o científicas.

- Adecuación.

La adecuación es el principio que se refiere al hecho de que solo se tendrán que obtener los datos que sean estrictamente necesarios, cumpliendo estrictamente con las obligaciones que establece el RGPD. Por ejemplo, si con el nombre, apellidos y correo electrónico es suficiente, no hay por qué pedir la dirección ni el número de teléfono. Este principio responde también al objetivo de promover la autorregulación de las empresas y organismos públicos que gestionen datos personales.

- Exactitud.

La exactitud está relacionada con la obligatoriedad legal del responsable de recoger los datos de forma veraz y real, lo que supone la defensa de los derechos del usuario. En el caso de que exista algún error en el registro de datos que impida cumplir con la finalidad, hay que ofrecer al usuario la posibilidad de rectificación o cancelación automática.

- Limitación temporal.

El mantenimiento de los datos se ha de limitar al tiempo necesario para cumplir la finalidad por la que se obtuvieron para evitar la acumulación de información sensible que no tiene una razón de ser objetiva para el responsable. En el caso de que la empresa o entidad pública ya no los necesite, está obligada a eliminarlos de su base en un periodo de tiempo razonable, aunque este derecho también se puede ejercitar a petición de parte.

- Seguridad.

Finalmente, hay que señalar el principio de seguridad para garantizar la confidencialidad en el tratamiento de los datos e implementar medidas para evitar que estos sean robados. Por este motivo, los responsables de la gestión de datos personales están obligados a notificar a la AEPD en un máximo de 72 horas cualquier problema o incidencia que se haya originado en sus servidores o sistemas de almacenamiento.

Algunos de estos principios mencionados ya eran coincidentes con lo que desarrollaba la LOPD, pero aquí quedan claramente definidos. Es importante que indiquemos que el incumplimiento de alguno de los preceptos generales es causa de sanción en grado máximo, de ahí que conocerlos y entenderlos sea imprescindible.

2. Novedades del nuevo RGPD

Las principales novedades del nuevo RGPD estriban, sobre todo, en el protagonismo que se da a la autorregulación para los propietarios de bases de datos y en el fin del consentimiento tácito como elemento de obtención. Se busca que sean los responsables los que gestionen el día a día del tratamiento de datos y que comuniquen a las autoridades las incidencias, de ahí que se cree la figura del Delegado de Protección de Datos.

Por otra parte, se desarrolla el principio de consentimiento, que en la anterior LOPD tenía varias lagunas que se cubrían con dictámenes de la Agencia Española de Protección de Datos (AEPD).

En materia de derechos, se han ampliado los supuestos que ya se contemplaban en la LOPD, denominados ARCO (Acceso, Rectificación, Cancelación y Oposición). Además, se instituye el derecho al olvido y a la portabilidad de los datos como desarrollo de los anteriores. Por otra parte, se indica que la información que se preste al usuario acerca del tratamiento de datos sea concisa, transparente, inteligible y de fácil acceso, ampliando los requisitos con respecto a la anterior normativa.

El régimen sancionador se endurece, siendo este uno de los elementos más importantes a considerar con el objetivo de asegurar la correcta implementación de la nueva normativa. Dependiendo de la gravedad de la infracción, las sanciones pueden alcanzar los 20 millones de euros o el 4 % de la facturación de la empresa.

Hay que destacar que los supuestos que obligan a las empresas y entidades públicas aumentan y que esta normativa tendrá preferencia ante la legislación estatal. Esto implica que, en caso de conflicto entre el RGPD y la LOPD, prevalecerá el primero. De ahí que sea imprescindible conocer las novedades para aplicarlas.

No obstante, por regla general lo que sucede es que la normativa europea introduce nuevos supuestos que refuerzan la protección que ya establecía la legislación española directa o indirectamente.

En cuanto al capítulo de derechos, aquí se amplían los casos concretos. Se reconoce al responsable del tratamiento de datos la posibilidad de introducir nuevos supuestos para recabar información del usuario en el caso de que esta sea necesaria para verificar su identidad. Por otra parte, la entidad que trate los datos también podrá reclamar al solicitante que especifique su pedido o pedir al encargado que colabore para salvaguardar los derechos del solicitante.

En definitiva, la nueva legislación busca que el responsable del tratamiento de los datos personales cuente con más herramientas para cumplir con sus obligaciones legales.

Podemos resumir las nuevas exigencias legales del responsable del tratamiento de los datos en los siguientes puntos:

- Obligatoriedad general de obtener consentimiento expreso y por escrito de la persona para tratar sus datos, eliminando el supuesto del consentimiento tácito que regía en la LOPD.

- La autorregulación obligará a notificar a la AEPD en un máximo de 72 horas cualquier incidencia que se origine en el sistema.

- El nombramiento de un profesional que se encargue de monitorizar el cumplimiento del reglamento, el Delegado de Protección de Datos (DPD/DPO), que puede ser un profesional externo o interno de la compañía.

En el resto del articulado, lo que se hace es desarrollar lo ya establecido en los derechos ARCO de la LOPD, lo que supondrá, por ejemplo, que las empresas tendrán que renovar los formularios de tratamiento de datos para adecuarlos.

3. Los derechos que contempla el RGPD

El Reglamento Europeo de Protección de Datos; RGPD asume el catálogo de derechos para los usuarios que ya preveía la LOPD, denominados derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).

Además, introduce los supuestos de portabilidad de los datos y el derecho al olvido como desarrollo de última generación de los derechos de acceso y cancelación.

El derecho de acceso se refiere a que, en todo momento, la persona que ha facilitado sus datos tiene derecho a acceder a los mismos. Este supuesto se aplica, sobre todo, para comprobar si se han registrado de forma correcta o si, efectivamente, constan en la base de datos de la empresa u organismo. Con la nueva legislación, se tendrá que facilitar una copia del documento original de forma que sea fácilmente descargable y accesible, lo que se conoce como portabilidad.

El principio de rectificación es evidente. En caso de que exista algún error en el registro de los datos, alguna carencia o inexactitud, el usuario tendrá derecho a que el organismo encargado del tratamiento de los datos los modifique. No hay grandes variaciones en el RGPD con respecto a la LOPD.

La cancelación, también conocida como derecho al olvido, es un derecho que se sigue reconociendo en el RGPD. Se trata de que, con excepción de los datos con interés informativo o estadístico, la persona tenga derecho en cualquier momento a que sus datos se retiren del fichero en el que fueron incluidos. Para ello, el responsable del tratamiento de datos tendrá que facilitar los mecanismos necesarios o actuar de oficio.

El derecho de oposición está directamente relacionado con la exigencia de consentimiento expreso que tiene la nueva normativa. La idea que subyace es que la persona interesada se puede oponer al tratamiento de los datos cuando se le notifique esta intención.

4. Régimen sancionador

Este es uno de los puntos en los que ha habido más cambios con respecto a la LOPD, sobre todo por la cuantía de las sanciones por incumplimiento de algún precepto. Los supuestos susceptibles de sanción están establecidos en el artículo 83 del reglamento. Cuando concurran casos graves y leves se aplicará la sanción más alta.

En los casos de vulneración de las responsabilidades que tienen el encargado y responsable respecto a sus obligaciones de control o de certificación, las sanciones podrán ser de hasta 10 millones de euros o el 2 % de la facturación.

Los casos más graves se refieren al incumplimiento de una resolución de las autoridades de protección de datos, transferencia de datos a terceros, incumplimiento de principios generales o vulneración de derechos. Las sanciones podrán alcanzar los 20 millones de euros o el 4 % de la facturación.

Cumplir y conocer la normativa del RGPD es fundamental para las empresas de hoy

Para solicitar más información

CONTACTO