REGLAMENTO EUROPEO
DATOS

El nuevo Reglamento General de Protección de Datos; la cultura del cumplimiento efectivo

Nos encontramos a pocos meses de finalizar la vacatio legis de dos años que el nuevo Reglamento Europeo de Protección de Datos (RGPD) establece en su artículo 94.

Mayo del próximo año está más cerca de lo que pensamos, y el nuevo Reglamento Europeo de Protección de Datos plantea un escenario realmente complejo y nuevos retos para empresas, ciudadanos y profesionales que asesoran en esta materia. Muestra de ello, es que incluso las propias autoridades se dieron un plazo de dos años para su completa aplicación, ya que, si bien entró en vigor desde su publicación el pasado 25 de abril de 2016, no será efectivo hasta el próximo 25 de mayo de 2018.

Los cambios que introducirá el nuevo Reglamento nos obligan a hacer un plan de adaptación, ya que en este periodo transitorio en que nos encontramos, aunque siguen vigente las disposiciones de la Directiva 95/46 y las correspondientes normas nacionales de desarrollo hasta mayo de 2018, los responsables y encargados de tratamiento deben ir preparando y adoptando las medidas necesarias y adaptando sus formularios para estar en condiciones de cumplir las previsiones del nuevo RGPD en el momento en que sean de aplicación.

Sin perjuicio de las novedades que afectan a la aplicabilidad del Reglamento, la privacidad por diseño y defecto, la ampliación del derecho de información, la especial referencia al consentimiento expreso que rompe con la práctica habitual del consentimiento tácito recabada por empresas ( el cual ya no es correcto), así como la ampliación de los derechos de los interesados (concretados en los nuevos derechos de transparencia, portabilidad de datos y derecho al olvido), el verdadero protagonista bajo nuestro punto de vista, es el principio de responsabilidad proactiva.

El paradigma de responsabilidad activa en el Reglamento, también denominado “accountability”, es la filosofía sobre la que se asienta la nueva normativa. Mientras que la Directiva 95/46/CE se basaba en una declaración de procedimientos previos, el nuevo Reglamento se basa en una filosofía de responsabilidad proactiva. Por tanto, corresponde ahora a las empresas la responsabilidad de identificar sus propios focos de riesgo, elegir las medidas idóneas para mitigarlo y acreditar en todo momento dichas conductas. Dicho en otras palabras, en caso de un hipotético expediente sancionador, de poco nos servirán los formularios guardados en un cajón a los que nadie prestaba atención. Un cambio de perspectiva que sigue la misma filosofía que, por ejemplo, la responsabilidad penal de las personas jurídicas.

En la práctica, este principio requiere que las empresas analicen qué datos tratan, la finalidad con que lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. Una vez evaluados dichos extremos, serán las mismas empresas las encargadas de determinar la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que dichas medidas sean adecuadas. En síntesis, la responsabilidad activa implicará acreditar que se han evaluado los datos objeto de tratamiento, que las medidas son adecuadas, que se aplica una política interna en materia de privacidad, y que se vela por la exigencia de dicho cumplimiento por parte del encargado de tratamiento, en caso de que exista. En definitiva, el verdadero sustrato del Reglamento impone el cumplimiento proactivo de la norma para generar una verdadera cultura de cumplimiento en las empresas.

Resulta especialmente novedoso que las medidas de seguridad quedan abiertas, ya que como venimos diciendo, en lugar de establecer unas obligaciones impuestas (contraseña o medidas de seguridad concretas), se exige una valoración subjetiva del riesgo. Posteriormente, partiendo de esa valoración, se implementarán las medidas de seguridad idóneas.

Por lo tanto, las medidas no serán las mismas para todas las empresas, a diferencia de la actual normativa donde dichas medidas son las mismas para todas las organizaciones que realizan un tratamiento de datos. Esta modificación implicará un esfuerzo por parte de todas las organizaciones, en la medida que tendrán que asesorarse correctamente en esta materia y estar atentos a las guías e indicaciones que la Agencia Española de Protección de Datos se encuentra elaborando con el fin de plasmar efectivamente todas las formalidades que el nuevo Reglamento impone hasta la espera de la norma nacional que articule las nuevas previsiones del Reglamento, que no olvidemos ya se encuentra en vigor.

Todo ello sin perjuicio de la elaboración del plan de evaluación de impacto que algunas empresas se verán obligadas a realizar y la designación por parte de las empresas de una nueva figura cuando se den los presupuestos que establece la norma: el Delegado de Protección de Datos.

No debemos olvidar que el incumplimiento de las disposiciones reglamentarias es susceptible de sanción administrativa que puede variar según la gravedad y la categoría de la infracción, del 2% al 4% máximo del volumen de negocio total anual global del ejercicio financiero anterior, o de 10 a 20 millones de Euros. Es de prever que la nueva normativa nacional haga uso de las potestades que la Ley 39/2015 de Procedimiento Administrativo Común de las Administraciones Públicas ofrece en cuanto a la posibilidad de reducción en caso de pago voluntario o reconocimiento de la infracción. Sin embargo, partiendo de las cantidades excesivas que impone el Reglamento, aún con la aplicación de una reducción la cuantía de la sanción seguirá siendo muy elevada.

El tiempo vuela, y son muchas las medidas y la adaptación de documentos y formularios que empresas y responsables deben ir adaptando, por lo que desde Arteley recomendamos aprovechar este plazo de vacatio legis para adoptar medidas para una adecuación progresiva al nuevo Reglamento antes de su efectiva aplicación en mayo de 2018, con el fin de irse adaptando a las nuevas exigencias en materia de protección de datos.

Rafael J.Ruz colaborador Arteley

Últimos Artículos