Se acabó el plazo de transición. Las empresas ya no tienen más tiempo para adaptarse a las nuevas normas de protección de datos impuestas en la Unión Europea, que traen consigo un régimen sancionador mucho más duro, más a la medida de las grandes multinacionales.
El 25 de mayo finaliza el periodo de adaptación del nuevo Reglamento General de Protección de Datos promulgado por el Parlamento Europeo y precisamente su primera novedad es que es de «aplicación directa» incorporándose al Ordenamiento Jurídico de cada Estado miembro de forma inmediata y sustituyendo a la normativa nacional, porque busca la uniformidad normativa en toda Europa, como explica Rafael Perales, asesor jurídico del Colegio de Gestores Administrativos de Sevilla.
Así, los artículos de la Ley Orgánica de Protección de Datos española que contradigan al reglamento serán inaplicables y la futura Ley, en fase de proyecto de ley y que derogará la actual LOPD, será para complementar algunos aspectos de la reglamentación europea. La fase de adaptación finaliza el próximo día 25 de mayo y, sin embargo, «la mayoría de pymes sevillanas no están preparadas para el nuevo reglamento de protección de datos».
Así lo advierten los gestores administrativos, que también avisan de las duras sanciones para pequeñas y medianas empresas que incumplan la nueva normativa europea.
Una de las principales novedades de esta norma deriva de la forma en que las empresas tendrán que obtener el consentimiento del interesado en aquellos casos en que sea preceptivo para el tratamiento de los datos personales. Este consentimiento deberá ser siempre una manifestación expresa e inequívoca. No se permitirá que el consentimiento se presuma o que sea tácito, mediante el silencio, o con casillas ya previamente marcadas a diferencia que lo que ocurría con la normativa actualmente vigente.
Se aumenta, además, de forma sensible, la información que se debe suministrar a los interesados antes de realizar el tratamiento de los datos personales. Las empresas deberán mantener actualizado un registro de las actividades del tratamiento de datos y garantizar y acreditar que el tratamiento de los datos respeta todo lo que exige la reglamentación europea.
Perales explica que una de las principales novedades es la creación de la figura del delegado de protección de datos en empresas que realicen un tratamiento masivo de datos, exigible en todos los organismos e instituciones públicas, siendo posible también su nombramiento de forma voluntaria.
«Es una figura de contacto con la Agencia de Protección de Datos, un canal de denuncia, un mediador y el encargado de controlar el cumplimiento de la normativa, por ejemplo, revisando las auditorías que se realicen», detalla.
Con el nuevo reglamento «desaparece el registro de ficheros a declarar». Ya no hay que enviarlos a la Agencia y pasan a ser un registro de actividades de carácter interno.
También desaparecen los niveles de seguridad (básico, medio y alto). Se hará, según se regula en el artículo 32, un análisis de riesgo previo y en cada empresa se determinará qué nivel de protección aplicar al tratamiento de los datos. La tecnología avanza tan rápidamente que es prácticamente imposible que una normativa los clasifique. En 2007, por ejemplo, se regularon los soportes y al poco tiempo la información se guardaba ya en la nube. Es difícil que la normativa alcance la rápida transformación tecnológica actual, surgiendo tecnologías como por ejemplo la del blockchain (que sirve de base a las criptomonedas, como el Bitcoin).
Según Perales, la normativa anterior no tradujo bien el mandato europeo: «No se supo trasladar claramente que se deben proteger los derechos de las personas físicas con ocasión de su tratamiento, y no solamente proteger los datos».
También destaca Perales como novedad la desaparición de la calificación de los datos como de «nivel medio o alto» considerándose ahora como «datos sensibles» como pueden ser los relativos a la libertad religiosa o la salud. «Se trabajará con los análisis de riesgo para determinar cómo influye el tratamiento de esos datos en los derechos de las personas y también se habrán de encargar en su caso evaluaciones de impacto», apostilla.
En cuanto al régimen sancionador, se endurece claramente mirando de lleno a las grandes compañías como Google, Amazon o Facebook.
Las infracciones leves se sancionaban antes con hasta 40.000 euros, las graves con hasta 300.000 euros y las muy graves con hasta 600.000 euros, y ahora pasan a existir solamente las leves hasta 10.000.000 euros, o el dos por ciento del volumen de negocio total anual (la cantidad mayor) y las infracciones graves, que antes llegaban hasta los 600.000 euros y ahora la horquilla es de entre 10.000.001 euros y 20.000.000 euros, o bien el cuatro por ciento del volumen total de negocio del ejercicio anterior (la cantidad mayor).
Ejemplos de infracciones leves son no llevar el registro de actividad, no tener medidas de seguridad o no comunicar vulneraciones de seguridad a la Agencia de Protección de Datos. Y Perales avisa, «existen dos tipos de empresas, las atacadas y las que van a ser atacadas», un principio conocido por todos los expertos en materia de ciberseguridad.
Entre las infracciones graves están que no se tenga el consentimiento explícito para el tratamiento de los datos o no respetar los derechos de los interesados.
«Aparte del consentimiento explícito se reconoce el interés legítimo del empresario para tratar los datos pero informando siempre al interesado», subraya Perales, quien recuerda que hay tres principios básicos en la protección de datos: la información, la base de legitimación (por ejemplo, el consentimiento o el interés legítimo) y las medidas de seguridad.
La nueva normativa está diseñada para garantizar la uniformidad en la protección de los datos personales y la intimidad en todos los estados miembros de la Unión Europea, de manera que todos los ciudadanos europeos se vean protegidos de la misma manera.
El presidente del Colegio Oficial de Gestores Administrativos de Sevilla, Javier Corral, explica que «los gestores administrativos están preparados para atender todas las consultas y dudas en relación al nuevo reglamento de protección de datos, y anima a las empresas a estar preparadas antes de la entrada en vigor, debido a que hay asociaciones de consumidores que están dispuestas a perseguir a aquellas empresas que no cumplan con los nuevos requisitos, con el consiguiente riesgo de fuertes sanciones».
Corral añade que lo mejor es «una buena planificación a tiempo y evitar sorpresas, ya que el desconocimiento respecto a la norma no te libra de la sanción». Además, advierte de que, por la experiencia de los gestores administrativos colegiados, «la mayoría de las pymes sevillanas no están preparadas para la entrada en vigor del nuevo reglamento de protección de datos».
Guía para las administranciones públicas
1. designar un delegado de Protección de Datos, si procede. (Ver art.37 RGPD y art. 34 PLOPD).
2. elaborar el registro de Actividades de tratamiento, prestando atención especialmente a los tratamientos que incluyan categorías especiales de datos o datos de menores, teniendo en cuenta su finalidad y la base jurídica (servicio de solicitud de copia de la inscripción como ayuda).
3. analizar las bases jurídicas de los tratamientos de los datos.
4. efectuar un análisis de riesgos. Sobre los resultados de ese análisis, identificar e implantar las medidas técnicas y organizativas necesarias para hacer frente a los riesgos detectados sobre los derechos y libertades de los ciudadanos.
5. verificar las medidas de seguridad tras el resultado del análisis de riesgos. Ello incluye verificar la aplicación de medidas de seguridad adecuadas, así como establecer protocolos para gestionar y, en su caso, notificar quiebras de seguridad.
6. si el tratamiento es de alto riesgo, detallar e implantar un procedimiento para realizar, una evaluación de impacto de la privacidad y, si fuera necesario, consultar previamente a la autoridad de control (art. 35 y 36, Reglamento General de Protección de Datos) (www.agpd.es).
7. adecuar los formularios para adaptar el derecho de información a los requisitos del nuevo reglamento.
8. adaptar los procedimientos para atender los derechos de los ciudadanos, habilitando medios electrónicos.
9. establecer y revisar los procedimientos para acreditar el consentimiento y garantizar la posibilidad de revocarlo.
10. valorar si los encargados de tratamiento ofrecen garantías de cumplimiento del Reglamento General de Protección de Datos y adaptar los contratos elaborados previamente.
11. confeccionar e implantar políticas de protección de datos que contemplen los requisitos del RGPD (art. 24, 25, 30) y poder acreditar su cumplimiento.
12. elaborar y llevar a cabo un plan de formación y concienciación para los empleados.