Mayo de 2018: ¿preparados para el nuevo Reglamento General de Protección de Datos?

Mayo de 2018: ¿preparados para el nuevo Reglamento General de Protección de Datos?
j.ibarrola

MARCOS GONZÁLEZ CALVO ABOGADO, CUATRECASAS

El 25 de mayo de 2018 será directamente aplicable en nuestro país el Reglamento General de Protección de Datos, que introducirá importantes novedades en los protocolos y medidas de seguridad en materia de protección de datos personales que las empresas deberán, además, tener ya implementados en esa fecha.

La observancia de esta nueva normativa se revela como especialmente trascendente teniendo en cuenta que la Agencia Española de Protección de Datos podrá imponer sanciones económicas en caso de su incumplimiento que pueden llegar hasta los veinte millones de euros o, tratándose de una empresa, a una cuantía equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose siempre por la de mayor cuantía.

Una de las principales novedades de esta normativa deriva de la forma en que las empresas tendrán que obtener el consentimiento del interesado en aquellos casos en que sea preceptivo para el tratamiento de los datos personales. Este consentimiento deberá ser siempre una manifestación inequívoca de voluntad, libre y específica o bien cualquier otra acción afirmativa de la que se pueda desprender dicho consentimiento. No se permitirá, sin embargo, que el consentimiento se presuma mediante el silencio, las casillas ya previamente marcadas o la inacción, a diferencia que lo que ocurría con la normativa actualmente vigente. Se aumenta, además, de forma sensible la información que se debe suministrar a los interesados antes de realizar el tratamiento de los datos personales.

A la vista de ello, las empresas deberán revisar y actualizar los protocolos que tienen implementados tanto para la obtención del consentimiento como las cláusulas informativas que suministran a los interesados con carácter previo a iniciar el tratamiento de los datos personales. Además, la Agencia Española de Protección de Datos ya ha puntualizado que dichas modificaciones afectarán también a cualquier tratamiento de datos personales que se haga a partir del 25 de mayo de 2018 aunque el consentimiento y la información se haya suministrado con carácter previo a la entrada en vigor de la nueva normativa, con lo que esto obligará a las empresas a revisar con carácter retroactivo los protocolos que han utilizado en el pasado para la obtención del consentimiento así como la información previa al tratamiento que suministraron a los interesados.

Además, se introducen figuras totalmente novedosas como el Delegado de Protección de Datos, cuya existencia va a ser obligatoria, entre otros muchos tipos de empresas, en establecimientos financieros de crédito, entidades aseguradoras, centros docentes, empresas de publicidad y prospección comercial, centros sanitarios, así como empresas de servicios de inversión.

Las empresas deberán mantener actualizado un registro de las actividades del tratamiento, así como adoptar todas aquellas medidas técnicas y organizativas apropiadas que deban aplicar a fin de garantizar y acreditar que el tratamiento de los datos es conforme con el citado Reglamento -sin que queden ya vinculadas por unas concretas medidas de seguridad de nivel básico, medio o alto, como ocurre en la normativa actual-, en lo que se ha denominado el «principio de responsabilidad activa del responsable del tratamiento».

Además, cuando sea probable que un tratamiento de datos, en particular si utiliza nuevas tecnologías, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes de comenzar éste, una evaluación del impacto que dichas operaciones de tratamiento van a producir. Si el resultado de dicha evaluación muestra que el tratamiento entrañaría un alto riesgo si no se toman medidas para mitigarlo, el responsable deberá comunicarlo a la Agencia Española de Protección de Datos, pudiendo esta adoptar las medidas que estime oportunas en relación a dicho tratamiento.

Vemos, por lo tanto, cómo van a aumentar sensiblemente las obligaciones en materia de protección de datos personales que las empresas se van a ver compelidas a cumplir a partir de mayo de este año, siendo las sanciones económicas previstas en caso de incumplimiento lo suficientemente importantes como para adoptar la decisión de implementar de forma progresiva, reflexiva y meticulosa las nuevas medidas y protocolos que la normativa exige con tiempo suficiente como para que en la entrada en vigor de la misma su cumplimiento sea total y efectivo.

Fotos

Vídeos