El reto del RGPD para los autónomos: cómo cumplir con la protección de datos
9 de diciembre de 2019
El reto del RGPD para los autónomos: cómo cumplir con la protección de datos
Para el RGPD la salvaguarda de la información es sumamente importante. La normativa es bastante imprecisa en cuanto a las sanciones se refiere.
Desde el 25 de mayo de 2018 autónomos y pymes están obligados a cumplir con el Reglamento General de Protección de Datos (RGPD). Es la normativa europea que entró en vigor en mayo de 2016 pero hasta ese momento no ha sido de obligado cumplimiento. Regula el derecho a la protección de datos personales y control sobre el uso que personas físicas, jurídicas y organismos públicos hacen de los mismos.
Todas las empresas, sociedades, autónomos, comunidades, asociaciones y administraciones públicas de los Estados miembro de la Unión Europea, están obligados a su cumplimiento. También se aplica en el Reino Unido y todas las empresas que, siendo de fuera, ofrezcan bienes o servicios a personas o controlen su comportamiento dentro de la UE.
Cómo adaptarse al RGPD
El RGPD exige que exista disposición de adaptación de manera garantizable a las reglas, derechos y garantías que ordena en su articulado. De hecho, las sanciones contempladas en su articulado solo se interponen cuando existe una infracción. Y antes de que exista la posibilidad de ser sancionado se pueden establecer los mecanismos que lo eviten.
Lo primero que debe hacer cualquier autónomo o pyme es elaborar un Registro de Actividades de Tratamiento teniendo en cuenta para qué van a ser utilizados los datos. De ese registro hay que elaborar un Análisis de Riesgos con el que estudiar el nivel de peligrosidad que hay entorno al tratamiento y almacenamiento que se hacen con los datos personales manejados.
Y, hacer una Evaluación de Impacto mediante la que analizar las medidas de salvaguarda implementadas para salvaguardar los datos en caso de sufrir una fuga de información y/o cometer una infracción.
Con los resultados obtenidos con estos tres pasos previos, hay que definir e implementar aquellas medidas que sean necesarias para cumplir con el RGPD. Además, se convierte en muy relevante la figura del Delegado de Protección de Datos (DPD). Y es que si un negocio o empresa tiene como objetivo el tratamiento de datos o los trata a gran escala está obligada a su designación.
Tratamiento de los datos personales
Para el RGPD la salvaguarda de la información es sumamente importante, pero también lo es el tratamiento de los mismos. Por eso la información tiene que ser recabada de forma clara y de manera que sea fácilmente comprendida por el interesado y solo puede ser utilizada para el fin previamente establecido.
Los datos personales tienen que mantenerse actualizados y almacenados garantizando su seguridad. Y recabados mediante consentimiento expreso del que los cede para ser usados.
Los datos, en principio, no pueden salir del Espacio Económico Europeo y si van a salir, tienen que observarse en el envío las garantías suficientes para la correcta protección de los mismos.
Sanciones del RGPD
Por desgracia el RGPD es bastante impreciso en cuanto a las sanciones se refiere. Pero sí que establece multas que pueden llegar a los 10 y 20 millones de euros y entre el 2 y el 4% del volumen de negocio anual global del negocio.
Especifica la normativa que hay que atender a cada caso en particular y estudiar determinadas circunstancias del mismo:
- Naturaleza, gravedad y duración de la infracción.
- Intencionalidad o negligencia.
- Medidas adoptadas por el responsable del tratamiento de los datos para minimizar los daños.
- Grado de responsabilidad del responsable del tratamiento de los datos en la infracción.
- Grado de cooperación con la autoridad de control.
- Categoría de los datos de carácter personal afectados.
- Cualquier otro agravante o atenuante aplicable a las circunstancias del caso.
Además, el RGPD establece la posibilidad de que cada estado establezca faltas y delitos penales según las violaciones que se produzcan de su articulado. Y recoge derechos para proteger los datos personales individuales frente a terceros.
Entre ellos el derecho a conocer para qué y hasta cuándo van a ser usados, el derecho a exigir la suspensión del tratamiento o, incluso, la eliminación de estos o su rectificación.
Además, por primera vez se regula el derecho al olvido con el que podrás eliminar tu rastro por completo, o parte de él, de Internet.
LOPD GDD española
Y, aunque el RGPD obliga a todos los países miembro de la Unión Europea, quedó en manos de cada país la obligación de formular la normativa competente para darle cobertura. Así, este mismo año 2019, ha entrado en vigor la Ley de Protección de Datos Personales y garantía de los derechos personales, LOPD GDD.
La legislación española establece claramente su objetivo: garantizar la protección de los datos personales de las personas físicas. Incluyendo mecanismos de seguridad para el tratamiento y la disposición de éstos. Y, por ello, se aplica al tratamiento total o parcial, y automatizado (o no), de los datos personales.
Además, especifica que serán las comunidades autónomas las que ostenten la competencia de desarrollo normativo y ejecución del derecho a la protección de datos personales en su ámbito de actividad y a sus autoridades corresponde garantizar el derecho.
Principios de la LOPD GDD 2019
Los principios de protección de datos recogidos en la legislación española se establecen del siguiente modo:
- Los datos tienen que ser exactos, por tanto, si fuera necesario, habrá que actualizarlos.
- Se recoge el deber de confidencialidad tanto para el responsable del tratamiento de los datos, como para todo aquel que intervenga en el proceso.
Una obligación que se mantiene incluso cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.
- Es necesario el consentimiento expreso del titular de los datos para poder recabarlos y usarlos.
Por tanto, tiene que ser informado, de manera inequívoca, de para qué será usada su información.
- El tratamiento de los datos personales de un menor sólo podrá fundarse en su consentimiento cuando sea mayor de 14 años.
Por tanto, si el afectado no llega a esta edad, solo será válido el cedido por el titular de su patria potestad o tutela, y con el alcance que determine el mismo.
- El titular de los datos personales tiene derecho a saber quién es el responsable del tratamiento de su información, y debe tener acceso, de forma sencilla e inmediata, a él, que, además, debe informar sobre los medios disponibles para ejercer sus derechos.
- Para evitar situaciones discriminatorias no se podrá tratar con datos cuya finalidad sea la de identificar la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico, tan solo porque el afectado de su consentimiento.
Régimen sancionador en la LOPD GDD 2019
Si hay algo que nos mantenía preocupados en el RGPD era la incertidumbre con respecto al régimen sancionador.
La normativa europea contempla sanciones muy elevadas ya que, según la infracción, las multas administrativas pueden alcanzar entre 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global.
El problema es que no quedaba muy claro en qué casos podías ser sancionado y por cuánta cantidad.
La LOPD ha sido mucho más concisa que la normativa europea. Mantiene la clasificación del antiguo articulado entre muy grave, grave y leve, según el grado de afectación de los datos.
Así, el régimen español de infracciones se divide en:
Muy graves: las que supongan una vulneración sustancial del tratamiento y tengan que ver con el uso de los datos para una finalidad diferente de la anunciada, la omisión del deber de informar al afectado, la exigencia de un pago para poder acceder a los datos propios almacenados, transferencia internacional de información sin garantías.
Este tipo de infracción prescribe a los 3 años.
Graves: las que supongan una vulneración sustancial del tratamiento y tengan que ver con datos de un menor recabados sin consentimiento, falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos o, por ejemplo, el incumplimiento de la obligación de nombrar responsable o encargado de tratamiento de datos.
Este tipo de infracción prescribe a los 2 años.
Leves: las restantes que no queden contempladas en los grupos anteriores. Prescribirán al año y se refieren a casos como la no transparencia de la información, el incumplimiento de no informar al afectado cuando lo haya solicitado o, por ejemplo, el incumplimiento por parte del encargado de sus obligaciones.
Además, para aplicar una u otra sanción también se tendrán en cuenta circunstancias como el carácter continuado de la infracción, la vinculación de la actividad del infractor con el tratamiento, la afectación a los derechos de los menores, etc.