El 25 de mayo de 2018 entró en vigor en la Unión Europea (UE) el Reglamento General de Protección de Datos (conocido en siglas como RGPD). Esta normativa constituye un nuevo marco jurídico que se aplicará de modo directo en todos los Estados miembros de la UE, y que tendrá prioridad sobre las legislaciones nacionales.
En el caso de España, la tendrá sobre la actual LOPD (Ley Orgánica de Protección de Datos). Pero, ¿cuál es el objetivo del RGPD? La protección de los datos personales, es decir, de la información relativa a las personas físicas. Es por ello que estamos ante una de las mayores reestructuraciones en relación al tratamiento de los datos personales, pudiendo afectar no solo a las empresas, sino a cualquier persona, entidad, autoridad pública, servicio u otro organismo que procese datos personales de quienes residan en la Unión Europea. Y aquí también se incluyen proveedores y terceras empresas a los que se encargue el tratamiento de esos datos personales.
Esta nueva normativa tiene un ámbito de aplicación muy amplio ya que, además de afectar a los países de la UE, algunos como el Reino Unido también tendrán que adaptarse ya que, a pesar de su salida de la Unión Europea en 2019 (Brexit), el RGPD (GDPR por sus siglas en inglés) se incorporará a la legislación británica. Por otro lado, el RGPD también afecta a las empresas de fuera de la UE que ofrezcan bienes o servicios a personas de la Unión Europea o que controlen su comportamiento dentro de la UE. Por ejemplo, afecta directamente a las empresas de EE.UU. que alojen sitios web accesibles para personas de la UE. Tendrá, por lo tanto, un alcance sin precedentes.
A nivel empresarial, el RGPD tiene implicaciones para todos los departamentos o áreas. Es por eso que será conveniente contratar o designar un delegado de protección de datos para aplicar procedimientos y garantías adicionales. Además de que deberá ser alguien con la formación adecuada para poder realizar auditorías y prevenir posibles sanciones, las cuales podrán ser de hasta el 4% del volumen del negocio anual o de 20 millones de euros (la que sea de mayor cuantía).
Si hacemos referencia a la norma vigente actualmente para la protección de datos en la UE (directiva 95/46/CE), esta otorga a las personas físicas derechos sobre sus datos personales y describe, además, la información que deben recibir de las empresas (incluidos los fines que se van a dar a esos datos). En la mayoría de los casos, dicha comunicación consiste en declaraciones de privacidad o en notificaciones proporcionadas en un sitio web.
Con la llegada del RGPD, la protección de datos se amplía enormemente ya que da más derechos a las personas. Derechos que hay que comunicar a los interesados. Otra novedad que se incorpora es el tema del consentimiento. Aunque la legislación de la UE siempre ha requerido que el consentimiento de las personas para la recogida de sus datos sea libre, específico e informado, el RGPD exige que sea confirmado mediante declaración u otra acción afirmativa clara. Es decir, las casillas ya marcadas en las páginas web, el silencio o la inacción del interesado tras leer una declaración de privacidad ya no constituirán su consentimiento.
Otro punto a destacar es que las personas tienen ahora el derecho a mover, copiar o transferir sus datos personales de un lugar a otro, incluso a un competidor. La extensión del ámbito de aplicación es un punto a tener también en cuenta. El RGPD hace responsable de las violaciones de seguridad de los datos personales no solo a la empresa que los recoge, sino también a cualquier tercero que los procese en nombre de ella, ya sea otra empresa, un organismo o una persona física. Siguiendo con las novedades, ahora no bastará con simplemente cumplir el RGPD. Las empresas deben demostrar que lo hacen de acuerdo con el requisito de “responsabilidad proactiva”, que implica cumplir con algunas obligaciones bastante costosas a la hora de llevar los registros.
Además, durante toda la vida útil de los datos personales deben tomarse medidas técnicas y organizativas acordes a las expectativas de privacidad del interesado (es decir, habrá una privacidad de principio a fin de esos datos). Otra novedad será que, en el caso de producirse violaciones del RGPD, las empresas que recogen datos personales deben informar a las autoridades de control (por ejemplo, es el caso de la AEPD en España) en el plazo de 72 horas desde su conocimiento.
Por último, será necesario designar un delegado de protección de datos con conocimientos en legislación de protección de datos, aunque no será necesario que sea un empleado directo, sino que puede desempeñar esa función en el marco de un contrato de servicios. Y en relación a las sanciones por incumplimiento del Reglamento General de Protección de Datos, éstas serán duras y podrían ascender al 4% del volumen de negocio anual en todo el mundo o a 20 millones de euros.
Con todo esto, el nuevo RGPD tiene similitudes y diferencias con respecto a la LOPD que actualmente impera en España. En este post, un experto de Sage analiza cómo esta “nueva LOPD” llega para exigirnos más.
Y, si todavía tienes dudas sobre las novedades de esta nueva normativa, echa un vistazo a “Reglamento General de Protección de Datos (RGPD): Guía rápida de Sage para empresas”.
