Futuras obligaciones y sanciones en materia de Protección de Datos
Con el Reglamento General de Protección de Datos (RGPD), de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, se intenta reforzar un derecho fundamental que está tambaleándose.
La globalización y la vertiginosa evolución de la tecnología han provocado una necesaria transformación en la protección, recogida, tratamiento y transferencia de los datos personales.
A pesar de su entrada en vigor en 2016, el mismo no será aplicable hasta el 25 de mayo de 2018, plazo de tiempo que debería ser suficiente para que tanto el Estado como las organizaciones puedan ir elaborando y adaptando las modificaciones introducidas en el citado reglamento, respetando y sin olvidarse hasta entonces, entre otras, de la aún vigente Directiva 95/46, de 24 de octubre de 1995.
Debida a la imposibilidad de abarcar todas las novedades y cuestiones de especial relevancia que introduce el RGPD, las cuales sin duda merecen un estudio minucioso (tales como la ventanilla única, el derecho de portabilidad y el derecho al olvido), en el presente artículo me centro en las que considero que debe tener en cuenta cualquier organización, ya sea pública o privada.
La primera medida a tener en cuenta es el consentimiento, pilar esencial para el tratamiento de los datos personales. Las normativas y tribunales españoles reconocen como válido el consentimiento tácito, presunto y expreso, pero es únicamente a éste último al que el nuevo RGDP otorga la condición de lícito para el tratamiento de datos, en base a lo que se recoge en el artículo 4.11 del mismo, el cual establece que el consentimiento del interesado debe ser “ libre, específica, informada e inequívoca” por quien “acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”, no dando lugar a dudas interpretativas.
Por tanto, las organizaciones deberán verificar y controlar cuidadosamente cómo se han recopilado los consentimientos otorgados por los afectados por el tratamiento de los datos personales, ya que serán estas quienes deberán demostrar que se adecúan a los nuevos requisitos.
Otra cuestión que cabe resaltar, a pesar de que ya constituye una práctica relativamente extendida en las organizaciones, es la figura de Delegado de Protección de Datos, la cual es obligatoria en el sector público, pero prácticamente también en el privado.
En el primer caso, siempre será imperativo cuando sea una autoridad u organismo público, salvo que se trate de tribunales que actúen en ejercicio de su función judicial, pero en el sector privado, será necesario dicho delegado cuando la organización por razón de su actividad, “naturaleza, alcance y/o fines, requiera una observación periódica y sistemática de los interesados”, o lleve a cabo una gestión a gran escala de datos especiales, o estos sean relativos a sanciones e infracciones penales.
A resaltar que el citado delegado podrá ser externo, lo que da la posibilidad de que no esté incluido en plantilla, pero se exige que el mismo tenga, entre otros requisitos, conocimientos especializados en materia de protección de datos, debidamente acreditados, cuya obligatoriedad pretende asegurar las grandes responsabilidades que ostenta, y prevenir las altas sanciones posibles.
En concordancia con lo anterior, recalcar la importancia de las graves consecuencias que podría tener este futuro régimen sancionador, ya que el mismo contempla, además de la responsabilidad civil y/o penal, una sanción administrativa que puede elevarse hasta los 20.000.000 de euros o al “4% del volumen de negocio total anual global del ejercicio financiero anterior”, entre las cuales se impondría la de mayor cuantía.
En definitiva, las nuevas tecnologías permiten recoger, compartir, almacenar e implantar datos personales a una velocidad pasmosa, logrando reducir los costes temporales, pero de lo que no cabe duda es que estamos ante un reto jurídico complicado, ya que la garantía de seguridad y privacidad de los mismos se ve mermada en gran medida por la todavía falta de transparencia existente, la cual no podrá controlarse, o al menos reforzarse, si no llevamos a cabo un derecho sin fronteras, en el cual ninguna empresa pudiera aventajar a su competencia por la falta de armonización y estandarización de los requisitos exigidos a nivel mundial.
La globalización y la vertiginosa evolución de la tecnología han provocado una necesaria transformación en la protección, recogida, tratamiento y transferencia de los datos personales.
A pesar de su entrada en vigor en 2016, el mismo no será aplicable hasta el 25 de mayo de 2018, plazo de tiempo que debería ser suficiente para que tanto el Estado como las organizaciones puedan ir elaborando y adaptando las modificaciones introducidas en el citado reglamento, respetando y sin olvidarse hasta entonces, entre otras, de la aún vigente Directiva 95/46, de 24 de octubre de 1995.
Debida a la imposibilidad de abarcar todas las novedades y cuestiones de especial relevancia que introduce el RGPD, las cuales sin duda merecen un estudio minucioso (tales como la ventanilla única, el derecho de portabilidad y el derecho al olvido), en el presente artículo me centro en las que considero que debe tener en cuenta cualquier organización, ya sea pública o privada.
La primera medida a tener en cuenta es el consentimiento, pilar esencial para el tratamiento de los datos personales. Las normativas y tribunales españoles reconocen como válido el consentimiento tácito, presunto y expreso, pero es únicamente a éste último al que el nuevo RGDP otorga la condición de lícito para el tratamiento de datos, en base a lo que se recoge en el artículo 4.11 del mismo, el cual establece que el consentimiento del interesado debe ser “ libre, específica, informada e inequívoca” por quien “acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”, no dando lugar a dudas interpretativas.
Por tanto, las organizaciones deberán verificar y controlar cuidadosamente cómo se han recopilado los consentimientos otorgados por los afectados por el tratamiento de los datos personales, ya que serán estas quienes deberán demostrar que se adecúan a los nuevos requisitos.
Otra cuestión que cabe resaltar, a pesar de que ya constituye una práctica relativamente extendida en las organizaciones, es la figura de Delegado de Protección de Datos, la cual es obligatoria en el sector público, pero prácticamente también en el privado.
En el primer caso, siempre será imperativo cuando sea una autoridad u organismo público, salvo que se trate de tribunales que actúen en ejercicio de su función judicial, pero en el sector privado, será necesario dicho delegado cuando la organización por razón de su actividad, “naturaleza, alcance y/o fines, requiera una observación periódica y sistemática de los interesados”, o lleve a cabo una gestión a gran escala de datos especiales, o estos sean relativos a sanciones e infracciones penales.
A resaltar que el citado delegado podrá ser externo, lo que da la posibilidad de que no esté incluido en plantilla, pero se exige que el mismo tenga, entre otros requisitos, conocimientos especializados en materia de protección de datos, debidamente acreditados, cuya obligatoriedad pretende asegurar las grandes responsabilidades que ostenta, y prevenir las altas sanciones posibles.
En concordancia con lo anterior, recalcar la importancia de las graves consecuencias que podría tener este futuro régimen sancionador, ya que el mismo contempla, además de la responsabilidad civil y/o penal, una sanción administrativa que puede elevarse hasta los 20.000.000 de euros o al “4% del volumen de negocio total anual global del ejercicio financiero anterior”, entre las cuales se impondría la de mayor cuantía.
En definitiva, las nuevas tecnologías permiten recoger, compartir, almacenar e implantar datos personales a una velocidad pasmosa, logrando reducir los costes temporales, pero de lo que no cabe duda es que estamos ante un reto jurídico complicado, ya que la garantía de seguridad y privacidad de los mismos se ve mermada en gran medida por la todavía falta de transparencia existente, la cual no podrá controlarse, o al menos reforzarse, si no llevamos a cabo un derecho sin fronteras, en el cual ninguna empresa pudiera aventajar a su competencia por la falta de armonización y estandarización de los requisitos exigidos a nivel mundial.