14
May

Nueva Ley de Protección de Datos

Si tienes una empresa, sea del tamaño que sea, o eres autónomo, necesitas tener toda la información sobre la nueva ley de protección de datos a nivel europeo. En este artículo te aclaramos todas las novedades y las posibles sanciones a las que se enfrentan las empresas que no cumplan con esta nueva normativa europea.

El 25 de mayo ya está aquí y la mayoría de las empresas aún no están preparadas para cumplir con el nuevo Reglamento General de Protección de Datos (RGPD), la normativa europea que unifica las legislaciones sobre materia de protección de datos de los distintos países de la unión, fijando unos estándares comunes adaptados a lo que conocemos como ‘nueva era digital’.

Pero el marco regulatorio resultante de esta nueva normativa europea está cargado de burocracia, de ambigüedades y las consecuencias de su no aplicación no están del todo claras en algunos casos. Si adaptarse a las nuevas exigencias puede ser complejo para una gran empresa, el problema en una PYME es mayor al contar con recursos mucho más limitados.

Tanto es así, que desde Pimec, Patronal de la pequeña empresa en Cataluña, han dirigido una carta al Ministerio de Justicia para trasladar a la Comisión Europea la petición de aumentar el margen legal del que disponen las pymes y los autónomos para aplicar la nueva norma.

A pesar de estos ruegos, la fecha sigue fijada para el próximo 25 de mayo y es importante que todas las empresas y autónomos estén al tanto de cómo les afecta esta norma, qué deben hacer para cumplirla y a qué sanciones se enfrentan si no se amoldan a la nueva ley.

Pero, ¿qué cambia con el nuevo RGPD?

El objetivo del RGPD es devolver a los ciudadanos el control sobre sus datos personales que hoy en día circulan por nuestros smartphones, por las redes sociales, plataformas de comercio electrónico o banca online.

La principal novedad es la unificación de todas las leyes vigentes en los distintos países de la Unión Europea, con el objetivo de fijar un mismo criterio en materia de privacidad y protección de datos y consiguiendo una cooperación más rápida y efectiva sobre las autoridades policiales y judiciales. En resumen, la UE quiere evitar que los datos de sus ciudadanos puedan sufrir violaciones de privacidad, tanto de empresas europeas como de empresas extranjeras que traten datos de ciudadanos europeos.

Principales novedades del nuevo RGPD

  • Derecho al olvido

Persigue limitar la difusión universal e indiscriminada de datos personales en los buscadores de Internet cuando la información ya es obsoleta y no tiene interés público. Para ejercer este derecho debemos dirigirnos al buscador que está tratando nuestros datos a través de los formularios habilitados para ello y, si no obtenemos respuesta, solicitar tutela ante la AEPD.

  • Derecho a la portabilidad de los datos

Se reconoce el derecho a cualquier interesado a recibir los datos personales que hayan facilitado a un tercero en un formato estructurado y de uso común, y su derecho a transmitirlos a otro responsable, otorgándole un control total sobre sus datos.

  • Figura del Delegado de Protección de Datos

Uno de los cambios más destacables es la creación de este perfil, un especialista en Protección de Datos y cuyas funciones serán la de asesorar e informar al responsable del tratamiento de sus obligaciones y supervisar el cumplimiento de la normativa. Pero es importante saber que no siempre será obligatorio contar con un DPO. Sólo será necesario cuando el tratamiento de los datos sea realizado por una autoridad u organismo público y cuando la actividad principal del responsable implique un tratamiento de los datos a gran escala.

Aquí os dejamos un enlace al Proyecto de Ley Orgánica de Protección de datos en cuyo artículo 34 se detallan las entidades que deberán designar un delegado de protección de datos.

  • Nueva regulación de mecanismos de supervisión y control

Se establece el Consejo Europeo de Protección de Datos, una autoridad única para todos los países miembros.

  • Comunicación de brechas de seguridad a las autoridades y los afectados

La nueva norma marca en 72 horas el período del que dispone el responsable del tratamiento de datos para comunicar a la autoridad competente cualquier violación de seguridad a la que se hayan podido ver sometida los datos personales. Si la violación de la seguridad supone un riesgo para los derechos y libertados del interesado, también se requiere comunicarle el hecho y permitirle tomar las acciones que considere oportunas.

  • Consentimiento expreso

Las empresas que quieran obtener el consentimiento del interesado para el tratamiento de sus datos tendrán que obtener de este la aceptación expresa e inequívoca. No se admitirá la confirmación derivada del silencio o las casillas previamente marcadas.

  • Aumento de la información a los interesados

Las empresas deben tener y mantener actualizado un registro de las actividades derivadas del tratamiento de datos y poder garantizar y acreditar que este tratamiento cumple con la nueva normativa.

  • Desaparece la obligación de notificar ficheros a la APD

Ya no hay que enviar los ficheros a la agencia y pasarán a ser un registro de actividades de carácter interno.

  • Niveles de seguridad

Se realizarán análisis de riesgos sobre los datos tratados y, para cada empresa, se determinará qué nivel de protección se debe aplicar al tratamiento de esos datos. Por lo tanto, desaparecen los niveles de seguridad estándar.

  • Sanciones establecidas por el RGPD

Las sanciones para aquellas empresas o autónomos que no cumplan la nueva norma suponen multas desde 10 hasta 20 millones de euros o entre el 2% y el 4% de la facturación anual.

A pesar de que el desconocimiento del RGPD por parte de las PYMES es muy elevado, también es elevada la preocupación ante las posibles sanciones a las que se exponen. Y todas las empresas, tengan el tamaño que tengan, tienen que adaptarse a esta normativa si realizan el tratamiento de algún tipo de dato personal.