Después de dos años de plazo desde que el Reglamento General de Protección de Datos (RGPD) entró en vigor, hoy 25 de mayo de 2018 la aplicación de la norma europea es una realidad para todas las empresas y organismos públicos situados en la Unión Europea o que traten datos personales de personas que estén en dicho territorio, y la finalidad del tratamiento sea la oferta de bienes o servicios a dichos interesados en la Unión o el control de su comportamiento.
A día de hoy todos los responsables y encargados deberían haber adecuado sus tratamientos y protocolos internos a las exigencias del RGPD tales como:
- Actualizar los consentimientos de los titulares para que las bases de datos contengan consentimientos expresos.
- Protocolo para el ejercicio de los nuevos derechos.
- Impartir formación a los empleados
- Nombramiento de Delegado de Protección de Datos en los casos en que sea necesario.
- Elaboración de protocolos para determinar las medidas de seguridad relativas a cada tipo de datos tratados.
Las principales dudas que surgen con el nuevo Reglamento:
El RGPD ya es de aplicación ¿pero tengo un plazo de moratoria para poder adecuar mi organización a las nuevas exigencias?
No. El RGPD entró en vigor en mayo de 2016 estableciendo un plazo de dos años para su entrada en aplicación, otorgando este tiempo a las organizaciones para adecuarse a las nuevas obligaciones que introduce la normativa. La aplicación del RGPD es directa en todos los Estados Miembros de la Unión Europea sin excepción.
Además nuestra Agencia Española de Protección de Datos ya ha manifestado públicamente que será inflexible con la aplicación del RGPD.
¿Puedo esperar a la aprobación del Anteproyecto de Ley Orgánica de Protección de Datos?
No. Los Reglamento al contrario que las Directivas son normas de directa aplicación en todos los Estados Miembros que no necesitan ser transpuestos en la normativa interna. La LOPD española vendrá a matizar algunos aspectos que quedan más abiertos o pendientes de establecer concretamente en el RGPD, pero en esencia y a las principales obligaciones no les afecta la aprobación de nuestra norma interna.
De hecho, la actual LOPD será de aplicación en todo lo que no contradiga al RGPD, y convivirá con esta nueva norma hasta su total derogación que sucederá cuando el Anteproyecto de LOPD sea finalmente aprobado.
Ya he implementado el RGPD en mi organización ¿ahora tengo que hacer algo más?
Sí, hay mucho que hacer de ahora en adelante. Todas las empresas deben llevar a cabo una actitud y participación proactiva en el mantenimiento de los estándares de seguridad y de cumplimiento de los protocolos establecidos. Estos mecanismos deben ser actualizados y revisados periódicamente para adaptarse al crecimiento y devenir del negocio del responsable del tratamiento.
Resulta fundamental impartir formación empleados y a directivos de la compañía para que no sean ajenos a las novedades y exigencias de la normativa. Asimismo, es recomendable adherirse e incluso promover protocolos de buenas prácticas en el sector de actividad para el tratamiento de datos personales.
¿Puedo seguir haciendo campañas de marketing después del día 25 de mayo?
Sí, siempre y cuando el envío de comunicaciones comerciales se base en una relación jurídica previa entre las partes y el marketing sea relacionado con los productos y/o servicios contratados previamente por el titular de los datos y por otro lado, si se ha obtenido el consentimiento expreso del titular de los datos para recibir comunicaciones comerciales.
A partir de hoy, será conveniente analizar si los procesos y la gestión de los tratamientos se adaptan a nuestra organización o es necesario realizar alguna acción adicional para la adaptación del RGPD. Cada empresa tiene unas necesidades completamente distintas y no existen protocolos estandarizados para el cumplimiento efectivo de las exigencias de la normativa. El esfuerzo de las empresas requiere que la adaptación sea real y no meramente formal, y que el modelo anterior evolucione a uno activo y dinámico.
Finalmente, habrá que estar muy pendiente de los procedimientos sancionadores incoados por parte de las autoridades europeas de protección de datos, así como de sus distintos pronunciamientos para conocer la extensión y cuantía de las sanciones impuestas, dependiendo del tipo de infracción que se cometa y teniendo en cuenta que pueden ascender a una cantidad de hasta 20 millones de euros o al 4% del volumen anual de negocio.
¿Qué cambia con el Reglamento General de Protección de Datos?
En Andersen Tax & Legal lo resumíamos hace un año y puedes volver a verlo aquí.
