Sanciones por inadaptación al nuevo Reglamento de Protección de Datos

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018.

Identificación, análisis y recomendaciones en torno a las novedades introducidas

 

1. Normativa actualmente vigente

UE: Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y la libre circulación de estos datos.

España: Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)

España: Real Decreto 1720/2007, de 21 de octubre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal

 

2. Nuevo reglamento general de protección de datos

UE: El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE

Vigor: Entró en vigor el pasado mayo de 2016 y será aplicable a partir del 25 de mayo de 2018. Hasta esa fecha, continuará vigente lo establecido en la Directiva 95/46 y las normas nacionales de desarrollo.

Objeto: Lo que se pretende a través del margen de dos años que concede el reglamento es permitir a las empresas y los organismos ajustarse paulatinamente a lo introducido por sus disposiciones. Es conveniente iniciar la implementación con carácter anterior a su aplicabilidad.

 

3. Principales cambios y novedades

 

3.1 El ámbito territorial

LO 15/1999: La LOPD exigía la concurrencia de al menos un vínculo o nexo nacional para la aplicación de la protección.

RGPD 2016/679:

  • Se amplía el espectro territorial de protección para empresas de fuera de la UE que traten datos de ciudadanos de la UE cuando:
  • 1) Los datos se deriven de una oferta de bienes o servicios destinados a ciudadanos de la Unión Europea
  • 2) Su obtención sea consecuencia de una monitorización y seguimiento de su comportamiento

3.2 El consentimiento (arts. 6 y ss. rgpd)

LO 15/1999: La LOPD permitía el consentimiento tácito.

RGPD 2016/679: Para recabar el consentimiento válidamente debe mediar una declaración del interesado o una acción positiva que manifieste su conformidad (ya no se permite el consentimiento tácito).

3.3 El deber de información (ARTS. 13 Y SS. RGPD)

Deber de información sobre:

  • Identidad y datos del responsable
  • Datos de contacto del DPO
  • Finalidad de recogida de los datos y base jurídica del tratamiento
  • Destinatarios o categorías de destinatarios
  • Derechos de los que disponen los interesados
  • Transferencias a terceros países
  • Plazos de conservación
  • Existencia de decisiones automatizadas
  • Si facilitar los datos responde a un requisito legal o contractual, o son requisito para suscribir un contrato; si está obligado a facilitarlos y consecuencias de no hacerlo.

Requisitos para proporcionar la información:

  • Forma concisa, transparente e inteligible
  • Fácil acceso
  • Lenguaje claro y sencillo

* Se reduce el plazo de información a los interesados sobre la obtención de sus datos de terceros: máximo un mes (o en el momento de la primera comunicación con el interesado o de la comunicación a un tercero, lo que ocurra antes).

3.4  Los derechos del interesado (ARTS. 15 Y SS. RGPD)

Al esquema de derechos ARCO (derechos de acceso, rectificación, cancelación y oposición) se le añaden las siguientes facultades:

  • Derecho a la transparencia de la información (art. 15) Lenguaje claro y sencillo
  • Derecho de supresión (art. 17) Obtener sin dilación indebida la eliminación de los datos personales del interesado
  • Derecho a la limitación  (art. 18) Suspensión del tratamiento de datos
  • Derecho a la portabilidad  (art. 20) Derecho a que el interesado reciba los datos que le incumben

3.5  La protección de datos desde el diseño y por defecto (art. 25 rgpd)

  • Implantación de medidas previas que se traduzcan a garantías
  • Carácter organizativo y técnico
  • Códigos de conducta: determinar la aplicación de las obligaciones contenidas en el RGPD
  • Mecanismos de certificación: medio para demostrar el cumplimiento del RGPD. Plazo máximo de 3 años.

3.6 EL registro de actividades de tratamiento de datos (art. 30 rgpd)

LO 15/1999: Inscripción de los ficheros en el Registro General de Protección de Datos de la AEPD.

RGPD 2016/679:

  • En el nuevo sistema bastará con que se haga un registro de tratamiento de datos, cuya responsabilidad recaerá sobre el responsable de los mismos.
  • Deberá contener información relativa a los fines del tratamiento, los datos personales que se traten, los destinatarios de los mismos, los plazos para la supresión y las medidas técnicas y organizativas adoptadas

3.7 Las medidas de seguridad (art. 32 rgpd)

LO 15/1999: Niveles de protección básicos, medios o altos

RGPD 2016/679: Niveles de protección adecuados al riesgo. Medidas técnicas y organizativas apropiadas. Factores de determinación:

  • 1) Coste de la técnica
  • 2) Coste de la aplicación
  • 3) naturaleza, alcance, contexto y fines
  • 4) Riesgos para los derechos y libertades

3.8 La notificación de fallos ( arts. 33 y ss. Rgpd)

Contenido de la notificación: naturaleza de la violación, categoría de datos e interesados afectados, medidas adoptadas y aplicadas hasta el momento

  • Comunicación a la AEPD: Plazo de 72 horas desde su detección, salvo que sea improbable que constituya un riesgo para los derechos y libertades de los interesados
  • Comunicación a los interesados: Sólo si es probable que conlleve un alto riesgo para sus derechos y libertades.

3.9 La evaluación del impacto relativa a la protección de datos (ARTS. 35 Y SS. RGPD)

Evaluación con carácter previo en tratamientos de alto riesgo en los siguientes supuestos:

  • 1. Tratamiento automatizado
  • 2. Datos de categoría especial
  • 3. Zonas de acceso público

Si se determina un riesgo alto, deben tomarse medidas adecuadas al respecto

Deber de consultar a la autoridad si la organización u organismo no puede hacer frente a las contingencias que se deriven del tratamiento.

 

3.10 La nueva figura del data protection officer o el delegado de protección de datos (arts. 37 y ss. Rgpd)

DPO:

  • Respecto al DPO, es designado por el responsable y el encargado del tratamiento de datos en cuestión.
  • Sólo es necesario para aquellos supuestos en los que el tratamiento de datos sea llevado a cabo por una entidad u organismo público, o en los que la actividad del responsable y del encargado consista en operaciones de tratamiento que requieran una observación habitual o se refieran a categorías especiales de datos
  • Para informar y asesorar, tanto al responsable como a los empleados, de las obligaciones que les incumben en virtud del propio Reglamento y supervisar el cumplimiento del mismo
  • No tiene superior jerárquico, por lo que no puede percibir ninguna instrucción en lo concerniente al desempeño de sus funciones. Si tiene, en cualquier caso, el deber de mantener el secreto o la confidencialidad en lo que a su actividad respecta

3.11 Las transferencias internacionales (arts. 44 y ss. Rgpd)

Están prohibidas como norma general.

Excepciones:

  • En base a decisión de adecuación
  • Garantías adecuadas
  • Consentimiento explícito del interesado

Países excluidos del EEE: obligación de reconocimiento del nivel de protección por la Comisión

Excepción a la prohibición de transferencia de datos a terceros países sin estándar.

Requisitos:

  • Satisfacer interés legítimo
  • Transferencia no repetitiva
  • Afecta a un número limitado de interesados

3.12 El régimen sancionador (arts. 83 ss. rgpd)

Multas hasta 10,000,000 o 2% del volumen de negocio global del último año:

  • Por Vulneración de las obligaciones del responsable y del encargado
  • Vulneración de obligaciones de certificación
  • Vulneración obligaciones de control

Multas hasta 20,000,000 o 4% del volumen de negocio global del último año

  • Vulneración de los principios básicos de tratamiento
  • Vulneración de los derechos de los interesados
  • Transferencia a terceros países
  • Incumplimiento de una resolución

*En caso de concurrencia, se impondrá la más alta

Si tienes dudas, contacta con nuestros profesionales expertos.
Isabel del Castillo
, Irati Diez o Miguel Gane

  • Linkedin
  • Email
  • print