Protección de datos
El Parlamento Europeo y el Consejo aprobaron el 25 de mayo de 2016 el Reglamento General de Protección de Datos (RGPD), con la aspiración de unificar los regímenes de todos los Estados Miembros sobre la materia, si bien fue obligatorio transcurridos dos años desde dicha fecha.
El RGPD es el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos.
Se trata de una normativa a nivel Europeo, por lo que cualquier empresa de la UE, o aquellas empresas que tengan negocios en la UE, que manejen información personal de cualquier tipo, deberán acogerse a la misma.
En España, el RGPD dejó obsoleta la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) de 1999, siendo sustituida el 6 de diciembre de 2018 por la Ley Orgánica de Protección de Datos Personales y garantía de los Derechos Digitales, acorde con el RGPD.
Nuevos Principios
- PRINCIPIO DE RESPONSABILIDAD; implementar mecanismos que permitan acreditar que se han adoptando todas las medidas necesarias para tratar los datos personales como exige la norma. Se trata de una responsabilidad proactiva. Las organizaciones deben ser capaces de demostrar que cumplen dichas exigencias, lo cual obligará a desarrollas políticas, procedimientos, controles, etc…
- PRINCIPIOS DE PROTECCIÓN DE DATOS POR DEFECTO Y DESDE EL DISEÑO; adoptar medidas que garanticen el cumplimiento del reglamento desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de dato, como regla y desde el origen.
- PRINCIPIO DE TRANSPARENCIA; los avisos legales y políticas de privacidad deberán ser más simples e inteligibles, facilitando su comprensión, además de más completos.
Derechos para los Ciudadanos
- TRANSPARENCIA e INFORMACIÓN. Las organizaciones, al tratar datos personales, deben proporcionar mayor información y de un modo más inteligible, completo y sencillo. Especial consideración en este sentido con los datos asociados a menores de edad.
- El consentimiento para poder tratar datos de carácter personal ha de ser inequívoco, libre y revocable y deberá darse mediante un acto afirmativo claro. No se admite consentimiento tácito.
- DERECHO AL OLVIDO. Se podrá revocar el consentimiento prestado para el tratamiento de datos personales en cualquier momento, pudiendo exigir la supresión y eliminación de los datos en redes sociales o buscadores de internet.
- DERECHO A LA LIMITACIÓN DEL TRATAMIENTO. Permite al ciudadano solicitar el bloqueo temporal del tratamiento de sus datos cuando existan controversias sobre su licitud.
- PORTABILIDAD DE LOS DATOS. Se permitirá al ciudadano solicitar la transferencia de los datos personales de un proveedor de servicios en Internet a otro.
- Se podrán presentar denuncias a través de asociaciones de usuarios.
- INDEMNIZACIONES. Se reconoce la posibilidad de exigir indemnización de daños y perjuicios derivados del tratamiento ilícito de los datos personales
Sanciones
- Sanciones de hasta 10 millones de euros o un 2% del volumen del negocio total anual global del ejercicio financiero anterior (la más gravosa), por infracciones como no adoptar medidas de seguridad apropiadas o no nombrar a un delegado de protección de datos cuando sea obligatorio.
- Sanciones de hasta 20 millones de euros o un 4% del volumen del negocio total anual global del ejercicio financiero anterior, por infracciones como vulnerar los derechos de los afectados o el incumplimiento de los principios básicos del tratamiento.
Para fijar la cuantía de la sanción (dentro de los márgenes establecidos para cada una de las infracciones) se tienen en cuenta una serie de criterios de graduación (por ejemplo, el volumen de negocio o actividad del infractor, el grado de intencionalidad, el que haya reincidencia o no, los perjuicios causados a las personas interesadas y a terceras personas…).
En cualquier caso, el régimen sancionador se aplica a los responsables y encargados del tratamiento, no así a los Delegados de Protección de Datos (DPO).