Guía del Reglamento General de Protección de Datos
¿Quién está obligado a cumplir esta nueva normativa?
Todas las personas físicas y jurídicas que lleven a cabo el tratamiento de los datos personales en el ejercicio de una actividad comercial, dentro de la Unión Europea. Esto incluye a todo empresario que desarrolle una actividad económica, sea autónomo, emprendedor, pequeña, mediana o gran empresa.
No tendrá la aplicación del RGPD, en el entorno de las relaciones personales y domésticas.
Principales novedades del RGPD y cómo afecta a las PYMES
La principal novedad y de gran relevancia, es que desaparece la obligación tanto de la inscripción de ficheros ante la Agencia de Protección de datos (auténtica pieza angular en la anterior regulación, conocida como la LOPD), como de los documentos de seguridad, que seguirán siendo válidos únicamente hasta el día 25 de mayo de 2018.
Por otro lado, cabe destacar del RGPD, a diferencia de la LOPD del 99, que establece una diferencia entre las empresas que hagan un tratamiento de datos básicos (nombre y apellidos, dirección, DNI…), y las empresas que realicen un tratamiento de datos de categorías especiales.
El nuevo Reglamento entiende por datos de categorías especiales, los siguientes (Art. 9 RGPD):
- Origen étnico o racial.
- Las opiniones políticas.
- Las convicciones religiosas o filosóficas.
- La afiliación sindical.
- Datos genéticos.
- Datos biométricos dirigidos a identificar de manera unívoca a una persona física.
- Datos relativos a la salud.
- Datos relativos a la vida sexual o las orientaciones sexuales de una persona.
Para las empresas que realicen un tratamiento de datos personales con un nivel bajo de riesgo, como las PYMES o las MICROPYMES que no traten datos de categorías especiales, existe la denominada LISTA DE VERIFICACION SIMPLIFICADA, que no se medirá por el tamaño de la empresa sino por el nivel de los datos.
¿Qué significa la denominada Lista de Verificación Simplificada?
Las empresas que lleven a cabo el tratamiento de datos de nivel bajo y presenten un riesgo mínimo para los interesados, podrán simplificar la aplicación del RGPD. Este será el caso de PYMES o MICROPYMES, o bien, también podrá darse el caso que aún siendo empresas de gran tamaño, tengan el nivel de sus datos bajo.
De este modo, las compañías que cumplan con el perfil descrito, podrán acogerse a la fórmula de aplicación simplificada del RGPD, atendiendo a las siguientes cuestiones:
- Identificación de la base jurídica
- Verificación de la información que se proporciona a los interesados
- Establecimiento de un registro de actividades de tratamiento
- Ejercicio de derechos de los interesados
- Identificación de medidas de seguridad
- Verificación de las relaciones con los encargados de tratamiento
Por otro lado, será de gran utilidad acceder a la herramienta FACILITA de la Agencia Española de Protección de Datos, para tener conocimiento de las obligaciones que tiene que tomar el titular (la empresa), el registro de las actividades del tratamiento de los datos personales que lleva a cabo en su propia actividad y la categoría de los mismos:
Esta herramienta está destinada a aquellas empresas que realizan tratamientos de datos personales que, a priori, implicarían escaso nivel de riesgo para los derechos y libertades de las personas cuyos datos tratan, teniendo en cuenta que todo tratamiento conlleva un cierto nivel de riesgo.
Es un programa de ayuda general y como tal no es perfecto para todos los casos porque puede haber peculiaridades de cada empresa que no pueden tenerse en cuenta.
Los documentos resultantes de la ejecución de este programa serán válidos en la medida que las respuestas facilitadas a cada una de las preguntas sean ciertas y son los mínimos indispensables para facilitar el cumplimiento del Reglamento General de Protección de Datos.
El uso de este programa no garantiza el pleno cumplimiento del RGPD.
Principales novedades y cambios en el RGPD que deben tener en cuenta todas las empresas
Los principales cambios que conlleva el RGPD, son toda una serie de derechos y de obligaciones, tanto para las empresas como para los usuarios, que exponemos a continuación:
“Accountability”
Con el RGPD se impone la obligación a las empresas de aplicar el denominado “Principio de responsabilidad activa”, que significa cumplir activamente la normativa, en una palabra, cumplir y poder demostrar que se cumple.
“Privacy by design”
El principio de privacidad desde el diseño engloba los conceptos de la tecnología y la privacidad, tomando las medidas técnicas necesarias para garantizar el correcto tratamiento de los datos personales.
Consentimiento
Tiene que ser libre, expreso, inequívoco y explícito.
Transparencia en la información a los usuarios
Políticas “friendly”, es decir, evitar las fórmulas farragosas y que incorporen remisiones a los textos legales.
Ejercicio de los derechos ARCO (Derechos de Acceso, Rectificación, Cancelación y Oposición de los usuarios)
Carácter gratuito, excepto en los casos de solicitudes manifiestamente infundadas o excesivas, en los que se podrá cobrar un canon. Obligación de responder en el plazo de un mes.
Derecho al olvido
Es la consecuencia de la aplicación del derecho al borrado de los datos personales. Es una manifestación de los derechos de cancelación u oposición en el entorno online.
Portabilidad
El derecho a la portabilidad de los datos es una forma avanzada del derecho de acceso; en él se proporciona al interesado en un formato estructurado, de uso común y lectura mecánica, una copia de los datos personales solicitados por el mismo.
Obligación de suscribir el contrato de Encargado del tratamiento
En virtud del cual, se regulan las relaciones jurídicas entre el responsable y el encargado del tratamiento. En dicho contrato de Encargado del tratamiento se estipula de forma minuciosa el contenido mínimo de los contratos de encargo, debiendo tenerse en cuenta los siguientes aspectos:
- Objeto, duración, naturaleza y finalidad del tratamiento.
- Tipo de datos personales y categorías de interesados.
- Obligación del Encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable del tratamiento.
- Condiciones para que el Responsable del tratamiento pueda dar su autorización previa, específica o general, a las subcontrataciones.
- Asistencia al Responsable del tratamiento, siempre que sea posible, en la atención al ejercicio de derechos de los interesados...
Registro de Actividades de Tratamiento
Los ficheros que hasta ahora eran obligatorio presentar en la Agencia Española de Protección de Datos, son sustituidos por los Registros de Actividades de Tratamiento. El Art. 30 RGPD indica la información que deben contener los Registros. Los datos que deben contener el Registro de Actividades de Tratamiento son los siguientes:
- Datos de contacto.
- Listado de procesos internos que incluyan datos personales.
- Encargados del tratamiento.
- Transferencias internacionales.
- Plazos de supresión.
- Medidas de seguridad.
- Este registro de actividades del tratamiento debe estar permanentemente actualizado y disponible para la autoridad de control en caso de que lo requiriera.
Análisis de Riesgos
Establecer las medidas de seguridad y control para garantizar los derechos y libertades de las personas.
Evaluación de Impacto (EIPD o PIA por sus siglas en inglés, Privacy Impact Assessment)
Herramienta que permite evaluar, de manera anticipada, cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades del tratamiento.
Nombramiento del Delegado de Protección de Datos
El Reglamento (RGPD) establece como una de sus grandes novedades, para determinadas organizaciones, la obligatoriedad de designar a un Delegado de Protección de Datos o Data Protection Officer (DPO) por su expresión inglesa, siendo posible desempeñar sus funciones en el marco de un contrato de prestación de servicios.
En principio y, atendiendo al RGPD, se trata de un cargo voluntario para las empresas, excepto para los organismos públicos y para aquellas organizaciones cuya actividad principal "requieran una observación habitual y sistemática de interesados a gran escala", o "consistan en el tratamiento a gran escala de categorías especiales de datos personales", para los que será obligatorio”.
Las organizaciones obligadas a designar un DPO son:
- Autoridades u organismos públicos.
- Aquellas cuyas actividades principales consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
- Aquellas cuyas actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales y/o de datos relativos a condenas e infracciones penales.
- Aquellas obligadas por una norma específica o sectorial.
- Las organizaciones que la nueva LOPD pudiera incluir en la lista (ver párrafo siguiente).
En este sentido, el anteproyecto de la LOPD amplía considerablemente, hasta en quince supuestos, las compañías u organizaciones que deben nombrar un Delegado de Protección de Datos, en función de su actividad. A tal efecto, estarían obligados los siguientes:
- Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
- Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
- Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones.
- Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.
- Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
- Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
- Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
- Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
- Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
- Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.
En el caso de necesitar un Delegado de Protección de Datos (DPO) podemos ofrecerte dicho servicio, dado que el Reglamento exigirá a determinadas compañías por la especialidad en el tratamiento de sus datos la obligatoriedad de tener dicha figura, ya sea interno o en plantilla, o externalizado en un profesional del derecho., Próximamente, el anteproyecto de la Ley Orgánica de Protección de Datos, también impondrá la necesidad de dicha figura a determinadas entidades, en el momento que entre en vigor.
El RGPD establece que el DPO debe designarse atendiendo a sus cualidades profesionales y, en particular, a sus “conocimientos especializados del Derecho y la práctica en materia de protección de datos”.
Régimen sancionador del Reglamento General de Protección de Datos (RGPD)
De acuerdo con lo expuesto hasta el momento, el régimen de sanciones del RGPD es mucho más severo que el de la actual LOPD del 99. Se encuentra regulado en los artículos 83 y 84 del Reglamento.
Dispone el apartado 1, del citado articulado, que se impondrán las multas administrativas a las sanciones de acuerdo a cada caso individual siendo “efectivas, proporcionadas y disuasorias”.
Para graduar la sanción y el importe de la misma se tendrán, en cuenta, entre otras, las siguientes atenuantes y agravantes:
- La cooperación con la autoridad de control.
- Las categorías de los datos de carácter personal afectados por la infracción.
- La forma en que la autoridad de control tuvo conocimiento de la infracción.
- El cumplimiento de medidas de control.
- El factor agravante o atenuante.
Las infracciones de las disposiciones del RGPD se sancionarán de la siguiente forma:
- Con multas administrativas de 10.000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, del RGPD conllevará la siguiente sanción:
- Se sancionará de acuerdo con multas administrativas de 20.000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Se debe tener en cuenta que cada infracción se tendrá que estudiar de manera individualizada, con el fin poder cuantificar y determinar el grado de responsabilidad del infractor, atendiendo a las medidas técnicas y organizativas que se hayan tomado en su caso.
El Anteproyecto de nueva LOPD y cómo afectará a la entrada en vigor del RGPD
El Reglamento Europeo entró en vigor en mayo de 2016 y es de obligado cumplimiento en todos los estados miembros de la Unión Europea con independencia de que haya o no una ley nacional, si bien las sanciones que impone no entrarán en vigor hasta el próximo 25 de mayo de 2018.
No se necesita, por tanto, como sí ocurre con las Directivas comunitarias, una ley nacional que trasponga su contenido. Sin embargo, el legislador español tiene previsto modificar la actual LOPD de 1999, adaptándola a la nueva normativa comunitaria (insistimos, de obligado cumplimiento), y en algunos extremos, aunque no puede ir en contra del Reglamento europeo, nuestra ley nacional impondrá obligaciones adicionales.
El pasado mes de noviembre, el Gobierno aprobó el Proyecto de Ley de la nueva LOPD (Ley Orgánica de Protección de Datos), que se remitió al Congreso de los Diputados. A día de hoy, este Proyecto de Ley aún se encuentra en fase de enmiendas, por lo que no se podrá aprobar la nueva LOPD el 25/05/18 tal como consta en su Disposición Final Séptima.
Este hecho nos lleva a varias consecuencias jurídicas. Por un lado, nos encontraremos con un RGPD en vigor, cargado de un régimen de sanciones bastante severo, y, por otro lado, con una LOPD de 1999 que genera una inseguridad jurídica, debido a que la mitad de su articulado estará en contradicción con el RGPD.
Como consecuencia, la LOPD/1999 actual, estará en vigor en lo que no entre en contradicción con el RGPD y lo que entre en confrontación con la normativa europea, será de imposible aplicación por prevalecer el nuevo Reglamento.
En esta página
- ¿Quién está obligado a cumplir esta nueva normativa?
- Principales novedades del RGPD y cómo afecta a las PYMES
- ¿Qué significa la denominada Lista de Verificación Simplificada?
- Principales novedades y cambios en el RGPD que deben tener en cuenta todas las empresas
- “Accountability”
- “Privacy by design”
- Consentimiento
- Transparencia en la información a los usuarios
- Ejercicio de los derechos ARCO (Derechos de Acceso, Rectificación, Cancelación y Oposición de los usuarios)
- Derecho al olvido
- Portabilidad
- Obligación de suscribir el contrato de Encargado del tratamiento
- Registro de Actividades de Tratamiento
- Análisis de Riesgos
- Evaluación de Impacto (EIPD o PIA por sus siglas en inglés, Privacy Impact Assessment)
- Nombramiento del Delegado de Protección de Datos
- Régimen sancionador del Reglamento General de Protección de Datos (RGPD)
- El Anteproyecto de nueva LOPD y cómo afectará a la entrada en vigor del RGPD
