El pasado 5 de diciembre de 2018 se publicó en el Boletín Oficial del Estado (BOE) la nueva Ley Orgánica de Protección de Datos. En este caso, la normativa llevaba acompañada también el de Garantía de los Derechos Digitales, que ampliaba el abanico de cobertura legal de los ciudadanos. Dos años después del inicio de su aplicación, llamamos a la puerta de Sermecon para reflexionar sobre la puesta en marcha de esta ley y lo que ha significado para los ciudadanos y para las empresas.
“Nuestra función consiste en ayudar a su empresa a cumplir con dicha normativa. Siendo un verdadero colaborador que se encargará de que el cumplimiento de la LOPD, además de efectivo y real no sea un lastre para su organización”, explican desde la empresa. No hay que olvidar que la Agencia Española de Protección de Datos (AEPD) cita textualmente el Considerando 74 del RGPD, que establece que “….el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el Reglamento General de Protección de Datos, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas”.
De esta manera es el momento de adaptarse a la nueva ley. Y es que este nuevo sistema de protección de la privacidad implica un cambio en la cultura de las diferentes entidades del sector público y privado que tratan datos de carácter personal, al pasarse de un sistema reactivo a un sistema proactivo en el que la privacidad debe estar presente en todas las fases del ciclo de vida del dato, desde antes de su obtención hasta su destrucción, pasando por todas las diferentes fases del tratamiento. Por eso ya habrás notado que las relaciones con instituciones y con empresas han cambiado en tu día a día.
El RGPD parte del tratamiento de datos personales como piedra angular del sistema de protección de la privacidad. Sobre la base de los tratamientos identificados se valorará la necesidad de realizar una Evaluación de Impacto en Protección de Datos (EIPD) para cada uno de los tratamientos realizados.
Sanciones
Y no te creas que esta ley, como ocurre con otras, se está quedando en el cajón. Ya se conocen las primeras sanciones que se están imponiendo por no cumplirla.
- Muy graves: multas de hasta 20.000.000 euros o un 4% del volumen de negocio del año anterior (lo que sea mayor), de las infracciones recogidas en el apartado 5 del art. 83 del RGPD que supongan vulneración sustancial de los artículos mencionados en aquel.
- Graves: multas de hasta 10.000.000 euros o un 2% del volumen de negocio del año anterior (lo que sea mayor) , de las infracciones recogidas en el apartado 4 del art. 83 del RGPD que supongan vulneración sustancial de los artículos mencionados en aquel.
- Leves: restantes infracciones recogidas en los apartados 4 y 5 del art. 83 del RGPD. Aquí podemos incluir la famosa sanción a Eroski por su vídeo de la expolítica Cristina Cifuentes en un supermercado.
Evidentemente para llegar a esas cifras, debemos realizar infracciones muy graves, pero queremos que tengáis esta información para que sepáis de qué estamos hablando. Como puede apreciarse, el RGPD establece un sistema dual para fijar la cuantía de las sanciones protección de datos: la multa podrá consistir en una cifra exacta (hasta 20 millones de euros), o bien, podrá calcularse en función de un determinado porcentaje del volumen de negocio total anual global del ejercicio financiero anterior de la empresa sancionada (hasta el 4%).
Ya has visto que es muy importante asegurar una correcta identificación de las amenazas a los que está expuesta una actividad de tratamiento, teniendo en cuenta que entre los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas se pueden diferenciar dos dimensiones. Los riesgos asociados a la protección de la información con el foco central en la integridad, disponibilidad y confidencialidad de los datos. Y los riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.
De esta manera no queda duda de que hay que ponerse en manos de profesiones para realizar una auditoría sobre la gestión de datos de su empresa ya que te ayudarán a implementar todos los procedimientos para estar al corriente en materia de protección de datos.