El Reglamento General de Protección de Datos (RGPD) es de obligatorio cumplimiento desde el 25 de mayo de este mismo año.
Se trata de la normativa europea sobre protección de datos personales que afecta, entre otros, a pymes y autónomos.
Y, aunque el RGPD obliga a todos los países miembro de la Unión Europea, quedaba pendiente que cada país acometiera la aprobación de legislación propia al respecto para darle debido cumplimento.
Aunque más tarde de lo esperado, ya que estaba pendiente desde hacía varios meses, el Senado ya ha ratificado el documento que nos obligará a los españoles.
Mientras su publicación en el Boletín Oficial del Estado (BOE) marcará la fecha en que entrará en vigor, en Infoautónomos queríamos adelantarnos y ofreceros las claves de esta Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPD GDD).
Objetivo de la LOPDGDD
El objetivo de la Ley es garantizar la protección de los datos personales de las personas físicas. Incluyendo mecanismos de seguridad para el tratamiento y la disposición de éstos.
Y, por ello, se aplica al tratamiento total o parcial, y automatizado o no, de los datos personales.
Además, se incluye como novedad, la protección de los datos de personas fallecidas que pueden ser ejercidos por sus familiares o herederos para solicitar su rectificación o supresión. Y, en caso, de tratarse de menores, este derecho también puede ser ejercido por el Ministerio Fiscal.
Principios y Derechos de la LOPDGDD
Básicamente pueden quedar establecidos en tres principios:
- Los datos tienen que ser exactos, por tanto, si fuera necesario, habrá que actualizarlos.
- Se recoge el deber de confidencialidad tanto para el responsable del tratamiento de los datos, como para todo aquel que intervenga en el proceso.
- Es necesario el consentimiento expreso del titular de los datos para poder recabarlos y usarlos. Por tanto, tiene que ser informado, de manera inequívoca, de para qué será usada su información.
El titular de los datos personales tiene derecho a saber quién es el responsable del tratamiento de su información, y debe tener acceso, de forma sencilla e inmediata, a él, que además, debe informar sobre los medios disponibles para ejercer sus derechos.
Para conocer esos derechos la legislación española remite a la europea. En el RGPD se establecen:
- Derecho a rectificar tus datos inexactos o incompletos.
- De oposición al tratamiento de los datos.
- A suprimir tus datos si se usan para fines ilícitos o llega a término la finalidad para la que fueron recabados.
- Derecho a conocer para qué van a ser usados y el plazo de uso de los mismos.
- A solicitar la suspensión del tratamiento de tus datos, la conservación y la portabilidad de los mismos.
Figura del Delegado de Protección de Datos en la LOPDGDD
Según el RGPD existe la obligación de designar a un Delegado de Protección De Datos (DPD) en tres supuestos:
- En caso de que el tratamiento de los datos corre a cargo de una autoridad u organismo público.
- Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
- Y si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.
Este punto del Reglamento europeo había creado mucha confusión ya que no quedaba claro, sobre todo por lo impreciso de los puntos 2 y 3, cuándo sí y cuándo no era obligatorio tener un DPD.
La LOPD se ha curado en salud y establece hasta 16 casos concretos en los que, de manera taxativa, se exige su existencia.
Entre otros: colegios profesionales, centros de enseñanza, establecimientos financieros de créditos, aseguradoras, empresas de servicios de inversión…
Los Delegados tienen que ser conocidos por la Agencia de Protección de Datos Española y/ o, en su caso, las autoridades autonómicas de protección de datos. Ambos organismos están obligados a tener una lista actualizada de esos delegados.
Y los Delegados están obligados a poseer una titulación universitaria que acredite los conocimientos especializados en el derecho y la práctica en materia de protección de datos.
Régimen sancionador en la LOPDGDD
Si había algo que nos mantenía preocupados en el RGPD era la incertidumbre con respecto al régimen sancionador.
La normativa europea contempla sanciones muy elevadas ya que, según la infracción, las multas administrativas pueden alcanzar de entre 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global.
El problema es que no quedaba muy claro en qué casos podías ser sancionado y por cuánta cantidad.
La LOPD ha sido mucho más concisa que la normativa europea. Mantiene la clasificación del antiguo articulado entre muy grave, grave y leve, según el grado de afectación de los datos.
Así, el régimen español de infracciones se divide en:
Muy graves:
Las que supongan una vulneración sustancial del tratamiento y tengan que ver con el uso de los datos para una finalidad diferente de la anunciada, la omisión del deber de informar al afectado, la exigencia de un pago para poder acceder a los datos propios almacenados, transferencia internacional de información sin garantías…
Este tipo de infracción prescribe a los 3 años.
Graves:
Las que supongan una vulneración sustancial del tratamiento y tengan que ver con datos de un menor recabados sin consentimiento, falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos o, por ejemplo, el incumplimiento de la obligación de nombrar responsable o encargado de tratamiento de datos.
Este tipo de infracción prescribe a los 2 años.
Leves:
Las restantes que no queden contempladas en los grupos anteriores.
Prescribirán al año y se refieren a casos como la no transparencia de la información, el incumplimiento de no informar al afectado cuando lo haya solicitado o, por ejemplo, el incumplimiento por parte del encargado de sus obligaciones.
Fuente: El Economísta