SHARE
Cómo afecta el nuevo Reglamento Europeo de Protección de Datos a la empresa instaladora

El nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo Europeo, relativo a la protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), resultará de plena aplicación en todos los países miembros de la Unión Europea el próximo 25 de mayo.

A pesar de que el RGPD es de directa aplicación en los Estados Miembros, en nuestro país en estos momentos se encuentra en tramitación el proyecto de reforma de la Ley Orgánica de Protección de Datos, con el fin de adaptar las disposiciones nacionales al nuevo marco europeo.

Las empresas instaladoras tratan datos personales diariamente y, por tanto, surgen muchas dudas respecto a la implantación y cumplimiento de esta nueva norma.

Cómo afecta el nuevo Reglamento Europeo de Protección de Datos a la empresa instaladora

“Las empresas instaladoras tratan datos personales diariamente y, por tanto, surgen muchas dudas respecto a la implantación y cumplimiento de esta nueva norma”

 

Por dónde debemos comenzar y qué debemos modificar o actualizar

En primer lugar, una de las principales novedades del RGPD es el cambio en la obtención del consentimiento de todas aquellas personas con las que mantenemos relaciones comerciales, de manera que ya no será posible el tratamiento de datos basados en consentimientos tácitos, si no que será necesario disponer del consentimiento expreso, explícito y específico de cada uno de ellos. De este modo será necesaria su declaración manifiesta o en todo caso una acción positiva mediante la cual exprese su conformidad. Por ello, una de las primeras cuestiones que deben de llevar a cabo los Responsables del Tratamiento es proceder a revisar los consentimientos que disponen de los datos que ya poseen y eliminar aquellos datos que ya no sean necesarios (“wash data”), recabar el consentimiento expreso de aquellos datos cuyo tratamiento se desee mantener, y finalmente modificar las cláusulas informativas de recogida del consentimiento.

Por otro lado, y como cuestión directamente relacionado con la recogida del consentimiento, el Responsable del Tratamiento tiene una obligación de información con respecto a aquellas personas cuyos datos trate, debiendo proporcionarles información mucho más completa, detallada y específica que la que se facilitaba hasta ahora con la anterior LOPD. A fin de evitar cláusulas informativas excesivamente extensas, el RGPD permite que la misma se facilite en dos pasos: un primero consistente en la información básica que se ha de facilitar en el momento de recogida del consentimiento, y otro segundo consistente en la información adicional específica y detallada (identificación del Delegado de Protección de Datos, datos concretos de cesiones, transferencias internacionales, etc.)

Cómo afecta el nuevo Reglamento Europeo de Protección de Datos a la empresa instaladora

“Ya no será posible el tratamiento de datos basados en consentimientos tácitos”

 

Qué novedades introduce el RGPD

El Delegado de Protección de Datos es una nueva figura introducida por el RGPD, que amplía la tarea desempeñada por el Responsable de Seguridad, al que sustituye. Su función es coordinar y controlar el cumplimiento de las políticas de protección de datos en las empresas y organizaciones. Su figura será obligatoria para los organismos públicos y en algunos otros supuestos, pero no, por ejemplo, para pymes instaladoras. A pesar de no estar obligadas, muchas empresas valoran la posibilidad de disponer de un Delegado de Protección de Datos para externalizar sus funciones y disponer así de un intermediario con la Agencia Española de Protección de Datos.

Introduce también novedades en relación a los derechos de los interesados y el proceso de ejercicio de los mismos. Se acuñan nuevos derechos como el derecho a la portabilidad de los datos y el derecho al olvido. Los Responsables del Tratamiento, deben comenzar a implementar sistemas y mecanismos sencillos a fin de facilitar a los interesados el ejercicio de sus derechos.

El RGPD no habla de medidas de seguridad concretas en el tratamiento de datos personales, aunque hace mucho hincapié en el principio de la responsabilidad proactiva de las empresas. Estas se deben adaptar y adecuar en cada momento al tipo de datos que manejan y los tratamientos que realizan y deben implementar las medidas de seguridad desde el diseño, y no por defecto, como venían haciendo hasta ahora. Una las novedades importantes también es que el RGPD establece que, con independencia de las medidas concretas que se adopten, los datos tienen que almacenarse de manera anonimizada y seudonimizada.

 

Incidencias y sanciones

Finalmente, en caso de incidencias o brechas de seguridad en los datos, se ha proceder a su comunicación a la Autoridad de Control competente, pero también a los propios interesados cuando se hayan puesto en peligro sus derechos y libertades.

El incumplimiento de las previsiones establecidas en el RGPD, se sanciona con mayor dureza que hasta ahora y se han incrementado notablemente las posibles multas hasta un máximo de veinte millones de euros o el 4% del volumen de negocio total anual del ejercicio anterior.

Menos graves. Multa administrativa de 10 millones de euros o, si es una empresa, 2% del volumen de negocio total anual del ejercicio financiero anterior, en el caso de ser una cantidad mayor.

Más graves. Multa Administrativa de 20 millones de euros o, si es una empresa, 4% del volumen de negocio total anual global del ejercicio financiero anterior, en el caso de ser una cantidad mayor.