Internacional Junio 2017

Descargar edición impresa

Implementación del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de protección de datos: principales adaptaciones que las compañías deben ir realizando

Por Dolores Sancha

Antes de que nos demos cuenta, el 25 de mayo de 2018 estará aquí y con él, el Reglamento (UE) 2016/679 (en adelante, el Reglamento) será aplicable. ¿Está preparada su empresa para ello? El Reglamento es de directa aplicación para todas las empresas y el incumplimiento lleva aparejado graves sanciones que pueden alcanzar hasta los 20 millones de euros o el 4% de la facturación.

Algunas preguntas que debe plantearse:

1) ¿Está su empresa obligada a cumplir con las disposiciones del Reglamento?

Una de las novedades más importantes reside en los sujetos a quienes el Reglamento se aplica. Hasta ahora los obligados a su cumplimiento eran los responsables y encargados de tratamiento de datos establecidos en la Unión Europea. Con el nuevo Reglamento también se verán afectadas aquellas empresas que sin estar ubicadas dentro la Unión Europea realicen tratamiento de datos a causa de ofertas de bienes o servicios destinados a ciudadanos de la Unión Europea o como consecuencia de una monitorización y seguimiento de su comportamiento.

Con esta novedad el Reglamento requiere a las organizaciones, que no están domiciliadas dentro del territorio comunitario pero que tratan datos de ciudadanos europeos, el nombramiento de representantes en la Unión Europea. La función de éstos será aproximar los ciudadanos europeos y las autoridades nacionales a las organizaciones que no radican en la UE.

Por tanto, si la empresa no está domiciliada en la Unión Europea pero trata datos de ciudadanos europeos deberá verificar las nuevas obligaciones que impone el Reglamento.

¿Está su empresa obligada a cumplir con las disposiciones del Reglamento?

2) ¿Cumple la política de privacidad de la empresa con los requisitos de información que el Reglamento exige?

Otro punto principal de interés en el nuevo Reglamento es el consentimiento y la forma en qué este debe obtenerse de los titulares de datos. Hasta la fecha, muchas de las empresas sólo necesitaban un consentimiento tácito por parte de los interesados para empezar a tratar sus datos personales. Con la entrada en vigor de esta nueva normativa europea estas conductas van a estar prohibidas. A partir de ahora, y para que el consentimiento sea inequívoco, se requerirá de una acción positiva o una declaración por parte del titular, es decir, un consentimiento expreso.

Por todo ello es importante remarcar que los consentimientos obtenidos hasta la fecha serán inválidos si se han obtenido de forma que no cumple con el criterio establecido por el Reglamento.

3) ¿Qué debe hacer la empresa antes de que llegue el 25 de mayo de 2018?

  • Verificar la forma en la que se están recogiendo los datos.

  • Verificar si dicho sistema cumple con las disposiciones del Reglamento.

  • Valorar si las bases de datos que actualmente tiene la empresa podrán seguirse utilizando a partir de 2018.

4) ¿Qué novedades impone el Reglamento en lo que al tratamiento de datos de menores de edad se refiere?

El Reglamento General de Protección de Datos impone tener 16 años para dar el consentimiento por sí solo. Cuando no estemos ante esta situación será necesario que quien preste el consentimiento sean los padres o tutores del menor.

No obstante, lo dicho, el Reglamento se flexibiliza en este punto y permite a los Estados Miembros rebajar la edad hasta un mínimo de 13 años. En España la edad requerida actualmente se sitúa en los 14 años. Habrá que ver si la nueva regulación nacional mantiene los 14 años o incrementa esta edad.

5) ¿Cumple la leyenda de recogida de protección de datos que la empresa utiliza con el Reglamento?

La empresa deberá verificar:

  • El tipo de lenguaje que utiliza para informar a los interesados y si el mismo es inteligible.

  • Si la información facilitada cumple con los nuevos requisitos del Reglamento. A modo de ejemplo:

o ¿Refleja la leyenda de protección de datos la base jurídica que justifica el tratamiento de datos?

o ¿Se informa correctamente sobre los destinatarios de los datos que se recogen?

Conviene, por tanto, proceder a revisar el wording que se utiliza para la recogida de datos y no solo de los obtenidos a través de la web sino también en soporte papel o a través del teléfono.

¿Cumple la empresa con las medidas de responsabilidad activa que el Reglamento prevé?

6) ¿Conoce las obligaciones que el Reglamento impone a los encargados de tratamiento?

Las empresas que actúan como encargadas de tratamiento de datos de terceras empresas tienen, como consecuencia del Reglamento, obligaciones adicionales a las que se derivan hasta ahora de los contratos de encargo.

Por tanto, deberá verificarse si:

  • Se mantiene un registro de actividad de tratamiento.

  • En función del tratamiento que se realice, debe nombrarse a los Delegados de Protección de Datos.

  • Cumplen los contratos de encargo de tratamiento suscritos por la empresa con los requisitos que el Reglamento establece.

7) ¿Cumple la empresa con las medidas de responsabilidad activa que el Reglamento prevé?

El Reglamento no tan sólo recoge derechos como los que acabamos de ver, sino que también establece otro tipo de medidas dirigidas a garantizar y hacer cumplir dichos derechos. Se busca una responsabilidad proactiva por parte de las empresas que trabajan con datos personales. Todo ello se materializa en códigos de conducta, notificaciones de violaciones de la seguridad de los datos, mantenimiento de un registro de tratamientos o evaluaciones de impacto sobre la protección de datos.

Por todo lo anteriormente expuesto podemos afirmar que el Reglamento va a suponer la realización de cambios en la gestión de datos personales que van a requerir un mayor compromiso por parte de las empresas, así como de los entes públicos.

Ahora es un buen momento para las compañías para adaptarse, implementar y planificar algunas de las medidas previstas, ya que de este modo podremos detectar con antelación problemas o carencias.