El pasado 28 de enero se celebró el Día de la Protección de Datos en Europa; una efeméride promovida por la Comisión Europea, el Consejo de Europa y las autoridades de los Estados miembros de la UE cuyo objetivo es fomentar el conocimiento entre los ciudadanos sobre cuáles son sus derechos y deberes en esta materia. Este 2018, la jornada cobra una significación especial por tratarse del año en el que, finalmente y tras entrar en vigor en 2016, se aplicará el Reglamento Europeo de Protección de Datos.
La fecha escogida coincide con la firma del Convenio 108 sobre tratamiento automatizado de datos de carácter personal. Este convenio fue adoptado por el Consejo de Europa el 28 de enero de 1981 -y posteriormente ampliado en 2001 a través de un Protocolo- con el objetivo de completar el Convenio Europeo de Derechos Humanos, que reconoce el derecho al respecto a la vida privada y familiar, pero sin desarrollar de manera expresa el derecho a la protección de los datos personales. En síntesis, el Convenio nació en respuesta a la necesidad de proteger los datos de carácter personal en la medida en que estos desempeñan un papel importante en el ejercicio de otros derechos, como el de libertad de expresión o de conciencia.
En la actualidad, esta jornada trasciende el ámbito europeo, ya que el Convenio 108 está abierto a su firma por parte de otros países no miembros del Consejo de Europa. 51 estados han ratificado o se han adherido hasta hoy.
Las empresas y Estados miembros han contado con dos años –plazo que expira el próximo 25 de mayo de 2018– para adaptar sus leyes, normativas internas y protocolos a este reglamento. Una carrera contrarreloj que, hasta ahora y a nivel legislativo en España, ha cristalizado en un Proyecto de Ley Orgánica de Protección de Datos ya adaptado al Reglamento. Su remisión a las Cortes Generales fue aprobada el pasado noviembre y, a día de hoy, se encuentra en periodo de presentación de enmiendas por los grupos parlamentarios. Así que, de no aprobarse la nueva LOPD antes del 25 de mayo, se aplicará directamente el Reglamento Europeo.
A la vista de la proximidad de esa fecha, y aprovechando la efeméride que nos ocupa, recordamos los cambios principales que traerá consigo esta norma:
1.- El ámbito de aplicación. La nueva normativa es obligatoria también para las empresas no ubicadas en el territorio europeo que ofrezcan bienes y servicios a ciudadanos residentes en dicho territorio.
2.- La definición del consentimiento de las personas y la forma de obtenerlo por las entidades, mediante un acto afirmativo claro. Las entidades deben ser capaces de demostrar que la persona física ha prestado su consentimiento.
3.- Nuevos derechos para las personas, derecho a la portabilidad, derecho al olvido y derecho a la limitación del tratamiento.
4.- Mayores responsabilidades para las entidades a la hora de contratar un proveedor encargado del tratamiento de datos de carácter personal y mayores obligaciones de transparencia y cumplimiento para estos encargados.
5.- La promoción del uso de códigos de conducta internos en las organizaciones para la implantación de la nueva normativa y como medio de difusión de la cultura de la protección de datos dentro de la empresa. Estos códigos constituirán garantías de prueba de cumplimiento para las empresas.
6.- Toda una serie de medidas de cumplimiento interno que darán a la empresa conocimiento de los tratamientos que están llevando a cabo, y le permitirán implantar medidas técnicas y organizativas tanto preventivas para minimizar los riesgos en los tratamientos, como de seguimiento y control para asegurar que la protección de la información. Entre ellas tenemos, los registros de tratamientos, los análisis de riesgos, las evaluaciones de impacto, la implantación de los principios de la privacidad desde el diseño y por defecto, la notificación de las brechas de seguridad a la Agencia y, en su caso, a las personas afectadas).
7.- Entre estas medidas encontramos la figura de Delegado de Protección de Datos, que se constituye como garante de la privacidad dentro de las organizaciones. Esta figura es obligatoria para autoridades y organismos públicos, tratamientos de datos a gran escala y tratamiento de categorías especiales de datos. El Delegado de Protección de Datos debe gozar de independencia en sus decisiones y rendirá cuentas únicamente al más alto nivel jerárquico. Esta figura no es solo para responsables sino también para encargados del tratamiento.
8.- Las infracciones y multas: se incluye un régimen sancionador completo y se incrementan las sanciones, que podrán alcanzar los 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior en el caso de infracciones muy graves, optándose por la de mayor importe. No solo los responsables están sujetos a este régimen, sino también encargados del tratamiento, representantes de entidades no ubicados en España, las entidades de certificación y las entidades de supervisión de códigos de conducta.
Estas son sólo las novedades más significativas que se aplican a partir del 25 de mayo. ¿Está ya su empresa preparada para hacer frente al nuevo Reglamento Europeo de Protección de Datos?