PROTECCIÓN DE DATOS

Obligatoriedad de la nueva LOPD y consecuencias de su incumplimiento

A pesar de que falta poco más de un mes para la entrada en vigor de la nueva Ley de Protección de Datos de carácter personal que adapta al ordenamiento jurídico español el Reglamento de la Unión Europea en la materia, tras los dos años de plazo para la adaptación a las nuevas exigencias del mismo, es mucho el desconocimiento que existe sobre las nuevas responsabilidades y medidas a implementar por las empresas españolas, especialmente para las Pymes.

Y es que la implantación de la Protección de Datos Personales o la adaptación a la nueva normativa para aquellos que ya la tuvieran implantada, es obligatoria para todos los que tratamos datos de personas físicas, ya sean personas físicas (profesionales, autónomos…) o jurídicas (empresas, asociaciones, fundaciones) y no solo para el sector privado, también para el sector público.

 

Pero ¿qué entendemos por tratamiento de datos?, de acuerdo al art. 4 del nuevo Reglamento (UE) 2016/679 es:

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

O lo que es lo mismo, la utilización, informática o manual, de datos de personas físicas (como pueden ser el nombre, la dirección, el teléfono, el DNI, o cualquier otra información que la identifique o sirva para llegar a identificarla), para la realización de nuestra actividad empresarial o profesional, como por ejemplo los datos de nuestros empleados, clientes o proveedores…

¿Por qué esta protección? por el derecho fundamental de las personas físicas a la protección de sus datos de carácter personal, amparado por el artículo 18.4 de la Constitución y que se traduce en el derecho de las personas a tener un verdadero control sobre sus propios datos, especialmente ante la invasión de las nuevas tecnologías.

Este derecho se convierte en una obligación para los responsables de estos tratamientos, que deberán adoptar una responsabilidad activa y diligente, estableciendo las medidas oportunas para garantizar dicha protección que se materializa en el deber de informar a los interesados, el de guardar secreto sobre los datos, analizar los riesgos de su pérdida e  implantar medidas de seguridad que procedan, facilitar a los interesados el ejercicio de sus derechos…

¿Y qué ocurre si no cumplo? pues me impondrán una sanción administrativa en función de la gravedad de la infracción (leve, grave, muy grave) y si bien se tendrán en cuenta las circunstancias individuales de cada caso, así como la intencionalidad, la reincidencia, los beneficios obtenidos con ella, etc… son muy elevadas ya que van desde 900 euros en el caso de las más leves, hasta 20.000.000 de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior optándose por la de mayor cuantía.

 

Además las personas físicas tienen la posibilidad de presentar una demanda colectiva solicitando una investigación formal si una empresa no cumple el RGPD.

En Compliance Lucas te asesoramos y ayudamos a adaptarte a la nueva normativa, además de impartir la formación que necesaria para implantar en tu empresa una verdadera cultura de cumplimiento de protección de datos.

PROTECCIÓN DE DATOS Y COMPLIANCE

El próximo 25 de mayo de 2018 será por fin de aplicación en España, el nuevo Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos,
tras los dos años de plazo que la norma concedió a los países comunitarios para adaptar su legislación al régimen jurídico que establece, por lo que el pasado 10 de noviembre el Consejo de Ministros aprobó el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, es decir la nueva LOPD.

29

 

Así, el derecho fundamental de las personas físicas a la protección de datos de carácter personal, que ampara la Constitución española en su art.18.4, quedará sometido a su regulación por esta nueva LOPD que recoge y completa, las novedades, cambios y mejoras que introduce este Reglamento y cuya finalidad es ser instrumento unificador para los estados miembros, proporcionar mayor seguridad jurídica y adaptar la normativa a la evolución tecnológica y a la globalización.

Si bien el nuevo reglamento parte de la misma premisa que la directiva que deroga (Directiva 95/46/CE), de que las personas físicas deben tener el control de sus datos personales, adopta una posición activa respecto a la anterior norma, ya que la responsabilidad del que trata datos personales ya no se produce solo en caso de infracción, sino que el reglamento exige la debida diligencia en el cumplimiento de la norma adoptando las medidas necesarias para ello, o lo que es lo mismo, estableciendo una cultura de prevención y protección de los datos personales.

Para ello consagra una serie de principios y exigencias, así como el establecimiento de nuevos derechos para los interesados. Entre los principios más importantes en el tratamiento de los datos están: el de transparencia, el de responsabilidad proactiva del responsable del tratamiento, de integridad y confidencialidad, el de privacidad por diseño (las medidas se aplican desde el diseño del tratamiento) o el de protección de datos por defecto (solo se tratan los datos personales necesarios para la finalidad concreta del tratamiento)…

13133-NP3WT2-01

También establece una serie de exigencias como el consentimiento explícito del interesado (elimina el tácito), la obligación de las organizaciones de crear un registro propio documentado de las actividades de tratamiento que realiza en determinados supuestos, realizar una evaluación del impacto previa en tratamientos de datos que supongan un alto riesgo para los derechos o libertades de las personas, o la nueva obligación de designar un Delegado de Protección de Datos (DPO) en determinados casos, entre otras.

Respecto a los derechos de los interesados: refuerza el deber de información a los afectados distinguiendo la información a facilitar en el momento de la recogida de datos, o si los datos no se han obtenido del interesado, también incorpora el derecho al olvido y el derecho a la portabilidad de los datos.

Como vemos el Reglamento y la nueva LOPD establecen un régimen jurídico dirigido a la participación activa de las empresas y las organizaciones en la protección de datos personales y a la implantación de un sistema de cumplimiento preventivo (Compliance), en LUCAS ABOGADOS podemos ayudarte a establecer una política de cumplimiento adecuada a tu empresa, consulta con nuestro departamento de Compliance.