El nuevo principio de responsabilidad proactiva exige a las compañías adoptar nuevas medidas
El 25 de mayo de 2016 entraba en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos. Este Reglamento derogaba la Directiva 95/46/CE, que ha sido de aplicación hasta el 25 de mayo de 2018, por lo que, hasta ese momento, ha seguido siendo de aplicación la Ley Orgánica 15/1999 de Protección de Datos de carácter Personal, conocida por todos.
a nueva situación se ve como una actualización en el panorama de la protección de datos de carácter personal, dada la fuerte exposición a la que los datos personales venían siendo sometidos habitualmente. Y si bien las empresas que ya estuvieran al día en la materia tendrán bastante camino recorrido, “el nuevo principio de responsabilidad proactiva que se establece en la norma, exigirá a las compañías la adopción de nuevas medidas para cumplir con las exigencias legales y no ser sancionadas”, asegura Cayetano Sánchez Butrón, CEO de la firma alicantina de servicios jurídicos, Sánchez Butrón Abogados.
Sin embargo, los informes de la Agencia Española de Protección de Datos (AEPD) demuestran que la mayoría de las empresas aún están muy perdidas en ateria de protección de datos, si bien la reforma legal fue anunciada hace ya más de dos años.
El interés de la mayoría por estar al día en su cumplimiento es muy reciente, lo cual ha llegado a desatar cierta alarma en los últimos meses.
Cayetano Sánchez Butrón, máximo responsable de Sánchez Butrón Abogados, asegura que su firma, siempre ha estado preparada para el cambio y, durante estos dos años, se ha especializado y ha formado a sus profesionales para tener un máximo control sobre un área del Derecho que no muchos despachos dominan.
Desde su punto de vista, tres son las novedades a destacar en el nuevo panorama legal, que más interesa conocer a las empresas.
En primer lugar, los derechos de los interesados, mucho más protegidos ahora, y cuyo ejercicio deberá siempre facilitarse por parte de los responsables de modo gratuito. Los derechos cuya posibilidad de ejercicio debe propiciarse son:
Derechos de los interesados
> Acceso: Permite al interesado conocer y obtener información sobre el tratamiento de sus datos personales de forma siempre gratuita.
> Rectificación: Derecho para garantizar la certeza de la información tratada. Permite corregir y modificar los datos inexactos o incompletos.
> Cancelación: Facilita la eliminación de los datos que resulten ser inadecuados o excesivos, sin interferir al deber de bloqueo.
> Oposición: Derecho a que se cese o no se lleve a cabo el tratamiento de los datos del interesado.
> Limitación: Derecho a suspender las operaciones del tratamiento de los datos personales del interesado.
> Portabilidad: Complemento del derecho de acceso. Permite obtener los datos proporcionados a una organización o transmitirlos de forma directa a otra entidad.
> Olvido: Es la manifestación de los derechos de Cancelación y Oposición aplicados a los buscadores de internet. Permite impedir la difusión de datos personales a través de internet si no se cumplen ciertos requisitos. Endurecimiento de las sanciones La segunda novedad a destacar del nuevo marco legal en materia de protección de datos de carácter personal hace referencia al endurecimiento de las sanciones que, con claro afán disuasorio, se han incrementado enormemente.
Con la anteriormente vigente Ley Orgánica de Protección de Datos y su Reglamento se preveían sanciones en caso de falta leve, que oscilaban entre 900 y 40.000 euros, que se elevaban a 40.001 euros y hasta 300.000 euros en el caso de falta grave.
En el nuevo Reglamento General de Protección de Datos (RGPD) la sanción mínima (multa administrativa) puede alcanzar los 10 millones de euros o, en el caso de empresas, una cuantía equivalente al 2 % como máximo del volumen de negocio total anual del ejercicio financiero anterior, “lo que resulte
mayor en cuantía”.
En el caso de sanción muy grave, la anterior legislación contemplaba multas que oscilaban entre 300.001 y 600.000 euros, mientras que el RGPD, que entró en vigor el pasado 25 de mayo, prevé que la multa administrativa puede llegar a los 20 millones de euros o, en el caso de empresas sancionadas,
una cuantía equivalente al 4 % como máximo del volumen de negocio total anual del ejercicio financiero anterior, “lo que resulte mayor en cuantía”.
Lo que se pretende con este nuevo régimen sancionador, es que los responsables traten los datos en su poder con la debida responsabilidad y que, en cualquier caso, lo hagan asesorados por profesionales, para así evitar la comisión de infracciones y/o, en su caso, estén capacitados para reparar
el daño sin dilaciones y con el menor impacto posible para responsables y usuarios.
Por ello, Cayetano Sánchez Butrón desaconseja totalmente a toda empresa, independientemente de su tamaño, “correr el riesgo de no atender las exigencias del nuevo Reglamento, ya que las sanciones”, asegura el experto, “están previstas para ser verdaderamente ejemplificantes en caso de
infracción”.
La tercera novedad que incorpora el RGPD es la especial protección para usuarios menores de edad, pues el Reglamento los concibe como un colectivo especialmente sensible, “dado que no conoce plenamente el valor de su privacidad en internet, encontrándose en una situación de sobreexposición especto de sus datos de carácter personal”.
Por ello, el nuevo Reglamento propone fijar la edad de consentimiento en 14 y 16 años (extensible hasta los 13), y los responsables de tratamiento deberán demostrar que hicieron “esfuerzos razonables”, teniendo en cuenta el estado de la tecnología, para poder confirmar que, en caso de que la base legitimadora sea el consentimiento, este se prestó conforme a lo establecido en las disposiciones marcadas por el nuevo marco normativo, y que siempre se empleé un lenguaje fácilmente comprensible para los menores.
Cambios en el día a día En cuanto a los cambios en el día a día de la empresa, será necesario crear un “Protocolo de Seguridad” que recoja todas las medidas técnicas y organizativas en materia de protección de datos.
La idea es que estos protocolos sean instaurados sin alterar el funcionamiento y modo de trabajar habitual de las compañías, a través de indicaciones que aseguren un tratamiento seguro y fiable de los datos.
A tal fin, Sánchez Butrón Abogados propone a sus clientes un servicio personalizado, que tenga un impacto mínimo en la actividad empresarial, mediante cambios ajustados a las necesidades de cada cliente y que, en ningún caso, excedan las medidas pertinentes para cumplir con el nuevo Reglamento, “en lo que nosotros vemos como la confección de un verdadero ‘traje a medida’ en materia de protección de datos”.