El próximo 25 de mayo de 2018 es la fecha designada para el OBLIGATORIO CUMPLIMIENTO (que entró en vigor el 25 de mayo de 2016) del nuevo Reglamento Europeo de Protección de Datos (GDPR por sus siglas en inglés), de aplicación directa en los estados miembros de la Unión y que sustituirá por tanto nuestra actual Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), en vigor desde el año 1999.
Tres novedades importantes a resaltar sobre todo por su impacto en las PYMES:
- Principio de proactividad en el cumplimiento de la norma, que ya no se limita a establecer una lista cerrada de obligaciones y tareas que los responsables deben cumplir, sino que es a éstos a quienes se deja la responsabilidad de implementar, en función del conocimiento que tienen de su actividad, cuantas medidas técnicas y organizativas sean necesarias para asegurar un tratamiento de datos que respete los derechos existentes en esta materia
- Consentimiento expreso: hasta ahora se venía aceptando el consentimiento tácito para el tratamiento de datos, lo cual la nueva regulación prohíbe expresamente, exigiendo una declaración o acción verificable por parte del interesado (firma, tick, correo electrónico, etc.).
- Nombramiento de Delegado de Protección de Datos: se crea esta figura para ser el encargado de privacidad, cuyo nombramiento será obligatorio en función del volumen de facturación o de la sensibilidad de los datos tratados por el responsable.
Destacar por tanto que la principal novedad es el propio cambio de paradigma en cuanto al cumplimiento normativo.
En este sentido, esta obligación sigue el camino marcado por la tendencia internacional, que en nuestro país afectó en primer lugar a la responsabilidad penal de las personas jurídicas –con reforma del Código Penal incluida–, a quienes se les exige que cumplan con su obligación de establecer las medidas de vigilancia y control necesarias para evitar la comisión de delitos en su organización. La nueva normativa de protección de datos establece por tanto un sistema similar de cumplimiento, en el cual es el responsable quien debe fijar sus propias medidas a aplicar al tratamiento de datos –y a la verificación del cumplimiento de las mismas–, las cuales dependerán principalmente de los riesgos observados por el propio responsable al estudiar su propia organización, así como de los datos tratados (a mayor sensibilidad de los datos, mayores serán las medidas a aplicar).
El nuevo Reglamento Europeo se verá desarrollado por un nuevo reglamento de ámbito nacional, a día de hoy en trámite de aprobación. Debemos recordar que la normativa de protección de datos es de aplicación obligatoria para todas aquellas personas (físicas y jurídicas) que por razón de su actividad traten datos personales de personas físicas, no limitándose por tanto a los empresarios (incluyéndose a otras personas como fundaciones, asociaciones, administraciones públicas, etc.).
Por todo ello todos aquellos responsables de datos deberán realizar el correspondiente análisis de riesgos, para valorar e implementar las medidas de seguridad adecuadas que aseguren que el tratamiento dentro de su organización se realiza conforme a la nueva normativa.