Actualidad legal

Sanciones de hasta 20 millones de euros para las empresas que incumplan en nuevo reglamento de Protección de Datos

Antonia Nicolau Bestard. Abogada.

COMPARTE:
ico-facebook ico-twitter ico-google plus ico-linkedin ico-linkedin
ico-facebook ico-imprimir
ibeconomia.com - jueves, 24 de mayo 2018 | 9:28 Hrs.

Mucha gente se preguntará por qué se está recibiendo tal cantidad de correos electrónicos durante esta semana, todos ellos relativos a las políticas de privacidad de las empresas que tienen nuestros datos personales.

Ahora todo son prisas, porque el Reglamento de Protección de Datos comenzará a aplicarse mañana, día 25 de mayo de 2018. Sin embargo, dicho Reglamento fue publicado en el Diario Oficial de la Unión Europea el 27 de abril de 2016.

Este periodo de dos años entre la publicación en el Diario Oficial del RGPD y su plena aplicación tenía como objetivo permitir a los Estados de la Unión Europea, las Instituciones, así como las empresas y organizaciones que tratan datos de carácter personal que fueran preparándose y adaptándose para la aplicación del Reglamento, pero se ve que todo el mundo deja los deberes para última hora.

El avance de la tecnología genera nuevas amenazas para la privacidad, por ello el objetivo de esta norma europea es lograr una armonización y unidad de criterio en la aplicación y garantía de los derechos en materia de privacidad y protección de datos, así como garantizar unos estándares comunes de seguridad adaptados al entorno digital.

El RGPD sustituye a la actual Directiva de Protección de Datos aprobada en 1995 y desarrollada en España en 1999 a través de la Ley Orgánica de Protección de Datos, desarrollada, a su vez, en 2007 por el Real Decreto 1720/2007.

La falta de adaptación al nuevo Reglamento por parte de la empresa, organización o ente público puede llevar aparejada la posible imposición de sanción administrativa, la cual puede oscilar desde sanciones por infracciones “leves” (hasta 10 millones de euros o el 2% del volumen de negocio total del ejercicio anterior) a sanciones por infracciones graves, hasta 20 millones de euros o 4% del volumen de negocio total del ejercicio anterior. Todo ello sin perjuicio del derecho de indemnización al interesado.

El Reglamento establece una responsabilidad proactiva por parte del responsable del tratamiento en relación al cumplimiento de todos los principios relativos al tratamiento de datos personales, exigiéndole el deber de acreditar que está cumpliendo con la normativa de protección de datos.

Así pues, para tener el consentimiento del titular de los datos debe existir una solicitud previa utilizando un lenguaje claro y sencillo, teniendo el interesado el derecho a retirar su consentimiento en cualquier momento.

Cuando el tratamiento implique la cesión de los datos de los interesados, éstos deberán ser informados de forma que conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario.

El Reglamento se aplicará a todas aquellas empresas con establecimiento físico en la Unión Europea, así como aquellas empresas que, aun prescindiendo de establecimiento físico en la UE, realicen un tratamiento de datos personales de los interesados que residan en la Unión Europea cuando las actividades que desarrollen sean: bien la oferta de bienes o servicios o, bien, la monitorización de comportamientos.

El tratamiento de datos personales deberá realizarse de manera leal, lícitamente y transparente, debiendo ser recogidos los datos con fines determinados, explícitos y legítimos, prohibiéndose su tratamiento de manera incompatible con dichos fines.

Los datos deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, así como que los datos deberán ser exactos y puestos al día por parte del Responsable del tratamiento. El Reglamento impide el mantenimiento de los datos de forma ilimitada, por lo que no podrán ser conservados más tiempo del necesario para los fines del tratamiento que se recabaron.

Con la aprobación del Reglamento se modifica la regulación respecto a la obtención del consentimiento del interesado. Así pues, para poder prestar el consentimiento debe existir una solicitud del mismo utilizando un lenguaje claro y sencillo, teniendo el interesado el derecho a retirar su consentimiento en cualquier momento. Cuando el tratamiento implique la cesión de los datos de los interesados, éstos deberán ser informados de forma que conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario.

El legislador europeo ha ampliado los derechos de los interesados, manteniendo los derechos que ya se recogían en la anterior Directiva. Así, los derechos que asisten a los interesados a partir del viernes 25 de mayo 2018 son:

  1. Derecho de información y transparencia
  2. Derecho de acceso
  3. Derecho de rectificación
  4. Derecho de oposición
  5. Derecho de supresión/olvido
  6. Derecho a la portabilidad
  7. Derecho a la limitación del tratamiento

Sin embargo, no todo son garantías para el titular de los datos. El Reglamento europeo sorprende con la no obligatoriedad de inscribir los ficheros ante la autoridad de control y, sobre todo, por la supresión de unas medidas de seguridad determinadas y claras, haciendo únicamente referencia a la aplicación de aquellas medidas técnicas y organizativas que garanticen “un nivel se seguridad adecuado”.

Desde Legal Steps quedamos a su total disposición para evaluar el nivel de riesgo de su empresa y los pasos que en su caso deban tomarse para protegerse incluso de las sanciones “leves” arriba indicadas.

 

 

Artículo ofrecido por www.legal-steps.com

firma legalsteps


COMPARTE:
ico-facebook ico-twitter ico-google plus ico-linkedin ico-linkedin
ico-facebook ico-imprimir