11 May Reglamento de Protección de Datos: nuevas sanciones para las empresas
En Kernel Legal hemos seguido muy de cerca la tramitación de uno de los textos legales más relevantes del año: el nuevo Reglamento de Protección de Datos. Fruto de nada menos que cuatro años de negociaciones y un trámite final en el Parlamento comunitario que finalizó con éxito el pasado 14 de abril, el texto ha dado como resultado un marco legal mucho más garantista para los ciudadanos, pero también muchas nuevas obligaciones para las empresas que traten datos personales, tanto si son europeas como si son extranjeras (siempre que traten datos de ciudadanos comunitarios). En caso de no cumplir con las nuevas exigencias de Europa, las sanciones que se prevén son más contundentes y cuantiosas que nunca. Por eso, te recomendamos pedir asesoramiento: la cuenta atrás para cumplir con el Reglamento ya ha comenzado y 2018 será la fecha límite para adaptarse al nuevo marco.
Hace pocas semanas hablamos en nuestro blog sobre una normativa que se encontraba de camino y que, a día de hoy, ya es un realidad. También nos hicimos eco de su aprobación definitiva y de todas las novedades que, grosso modo, trae de la mano el texto. Este nuevo Reglamento de Protección de datos, en cualquier caso, promete generar un giro importante en toda Europa hacia una mayor protección de los datos personales de miles de ciudadanos. ¿Cómo? A través de garantías más estrictas en materia de protección de información sensible, Derecho al Olvido, derecho a controlar la portabilidad de datos o su cesión a terceros…
El texto dice mucho sobre los retos que la era digital llevaba tiempo planteando: su objetivo es devolver a los ciudadanos el control de sus datos personales y garantizar en toda la UE unos estándares de protección elevados y adaptados al entorno digital. Entre otras cosas, se regula el Derecho al Olvido (ya dibujado en gran parte gracias a la jurisprudencia del TJUE), o el tratamiento de datos personales especialmente sensibles.
El Reglamento, al detalle
Tal y como destaca la propia Unión Europea en su resumen de la nueva norma, el Reglamento enumera los derechos de los interesados, que son las personas cuyos datos se someten a tratamiento. Estos derechos dan a las personas un mayor control sobre sus datos personales, en particular gracias a:
– La necesidad de un consentimiento claro de la persona respecto del tratamiento de sus datos personales
– Un acceso más fácil del interesado a sus datos personales
– Los derechos de rectificación, supresión y “al olvido”
– El derecho de oponerse incluso al uso de datos personales a efectos de establecimiento de perfiles
– El derecho a la portabilidad de los datos de un prestador de servicios a otro
También se establece la obligación de los responsables (a quienes corresponde el tratamiento de los datos) de ofrecer información transparente y de fácil acceso a los interesados sobre el tratamiento de sus datos.
Nuevas infracciones y sanciones más cuantiosas
Por otro lado, el Reglamento especifica las obligaciones generales de los responsables y de quienes tratan los datos personales en su nombre (encargados del tratamiento). Entre esas obligaciones se cuenta la de aplicar medidas de seguridad adecuadas en función del riesgo derivado de las operaciones de tratamiento de datos que realicen (método basado en el riesgo). Los responsables deberán también en ciertos casos notificar las violaciones de datos personales. Todas las autoridades públicas y las empresas que proceden a determinadas operaciones arriesgadas de datos deberán también nombrar un delegado de protección de datos.
Como represalia ante incumplimientos por parte de las empresas e instituciones en general en material de protección de datos, el Reglamento dispone sanciones muy severas contra los responsables o encargados del tratamiento que infrinjan estas normas. Los responsables del tratamiento podrían ser multados con hasta 20 millones de euros o el 4 por ciento de su volumen de negocios total anual. Las autoridades de protección de datos nacionales serán las que impongan estas sanciones administrativas. En el caso de España, la Agencia Española de Protección de Datos (AEPD).
En concreto, el Reglamento asegura que, a fin de reforzar su aplicación, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del Reglamento, o en sustitución de estas. En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede imponerse un apercibimiento.
La imposición de sanciones, incluidas las multas administrativas, se regula en cada Estado miembro, atendiendo a los límites mínimos y máximos que marca el Reglamento (con el fin de armonizar la situación), y debe estar sujeta a garantías procesales suficientes conforme a los principios generales del Derecho de la Unión y de la Carta, entre ellas el derecho a la tutela judicial efectiva y a un proceso con todas las garantías.
A la hora de fijar la sanción, además, debe prestarse “especial atención”, asegura el texto, “a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante”.
¿Necesitas un plan de protección de datos para tu empresa? ¡Contáctanos!