El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (en adelante RGPD), mediante la aplicación de la norma contenida en el “Reglamento UE 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE”.
El nuevo RGPD comenzará a aplicarse el 25 de mayo de 2018. Este período de dos años desde su entrada en vigor, está teniendo como objetivo permitir a los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos, que vayan preparándose y adaptándose para el momento en que sea aplicable para el que falta escasamente un mes.
El pasado viernes 27 de abril de 2018, el equipo de ASELEC asesoría y abogados tuvo el privilegio de asistir a una jornada formativa que contó como ponente con el Jefe de Área de Inspección de la Agencia Española de Protección de Datos, y que sin duda, atendiendo a las responsabilidades que ostenta, resultó muy instructiva sobre los criterios interpretativos que este Organismo de Control aplicará a este respecto.
Este artículo pretende aportar algunas consideraciones claras sobre las implicaciones de la aplicación del nuevo Reglamento, sin pretender hacer un estudio pormenorizado del mismo.
Desde el punto de vista normativo, nos encontramos que el nuevo Reglamento (RGPD) no deroga la actual Ley Orgánica de Protección de Datos vigente en España (Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal), ni tampoco su Reglamento de desarrollo (R.D. 1720/2007, de 21 de diciembre). Efectivamente, será de aplicación el nuevo RGPD en todo lo en él contenido, y en lo no contenido, se estará a las anteriores normas que continúan en vigentes.
Ahora bien, está prevista la publicación de una nueva Ley de Protección de Datos para aproximadamente el mes de diciembre de 2018, y también un Reglamento de desarrollo de esta que no será antes del mes de diciembre de 2019. Estas fechas son aproximadas.
Realizamos ahora las consideraciones más relevantes de la ponencia citada:
- El Registro de Ficheros en la AEPD:
Al contrario que hasta ahora, la nueva normativa no obliga a registrar Ficheros en la Agencia Española de Protección de Datos (AEPD). Todo el cumplimiento de la normativa será responsabilidad de los obligados (Instituciones, Empresas y Organizaciones), que internamente establecerán los medios para la aplicación de la normativa.
¿Qué pasará con los ficheros registrados? Será una obligación cumplida bajo una normativa anterior, ya no habrá ningún procedimiento de presentación o de consulta de los ficheros comunicados.
- La herramienta FACILITA:
La Agencia Española de Protección de Datos ha desarrollado una herramienta online que permite obtener una aproximación personalizada para la aplicación de la norma, en función de la organización y el tipo de datos personales que sean tratados.
Como resultado, no obtenemos el pleno cumplimiento interno de la aplicación de la normativa de protección de datos, pero sí una base de partida para aplicar los procedimientos internos necesarios para abordarla.
- Los más y menos Obligados:
La Inspección de la AEPD, se centrará sobre todo en los grandes Responsables de Datos Personales. Entiende este organismo que no resultaba coherente con la aplicación de la normativa anterior, igualar la exigencia a grandes y pequeñas empresas. Por tanto, en adelante se producirá un mayor control y una aplicación del régimen sancionador sobre todo a las grandes empresas, aunque actúen de forma deslocalizada geográficamente mediante el uso de las nuevas tecnologías.
- El Régimen Sancionador y los apercibimientos:
El anterior régimen sancionador partía de unas sanciones mínimas muy elevadas, y se aplicaba obligatoriamente para la autoridad de control AEPD por la simple denuncia de cualquier afectado respecto a sus datos de carácter personal. Esta normativa sancionadora, resultaba excesiva para pequeñas empresas que se veían obligadas a cumplir como si fueran grandes, para protegerse de importantes sanciones.
El nuevo Reglamento, contemplará la aplicación de sanciones menores en su grado mínimo, aunque mayores en su grado máximo. Pero contempla una diferencia importante, y es la capacidad del organismo de control e inspección para realizar “apercibimientos” sin límite, en lugar de imponer sanciones. Esto proporcionará oportunidades a los infractores de rectificar, resarcir el daño causado y aplicar correctamente la normativa con responsabilidad.
- La figura del Delegado de Protección de Datos:
El nuevo RGPD incorpora la figura del Delegado de Protección de Datos (DPO). No será obligatorio nombrar un DPO por todas las empresas u organizaciones. De hecho, el Reglamento indica expresamente cuándo se designará un Delegado necesariamente, dejando abierta la posibilidad de no ser obligatorio el nombramiento en el resto de casos. Así, será obligatorio cuando el Responsable o Encargado del tratamiento de los datos sea una Administración u Organismo Público, o bien cuando los datos tenga especial volumen o sensibilidad, sin especificar concretamente dicho volumen de datos.
Además, el Delegado de protección podrá formar parte de la plantilla de la empresa, o bien de forma externa en virtud de un contrato de prestación de servicios.
- La filosofía de la aplicación de la nueva normativa por la Autoridad de Control:
Resulta tranquilizador conocer que la AEPD, como autoridad de control y con capacidad sancionadora, no tiene la intención de constituirse en un organismo con fines “recaudatorios” sino más bien, como un organismo regulador que permita actuar al sector público y al sector privado en el mercado, garantizando el buen uso de los datos de carácter personal, para proteger el derecho de las personas físicas.
En este sentido, habrá que aplicar la normativa vigente en materia de protección de datos, de forma adecuada a las circunstancias que particularmente se produzcan, y con la debida proporcionalidad, sin olvidar que, no sólo existe un duro régimen sancionador, sino que además es una responsabilidad social el respetuoso tratamiento de los datos de carácter personal.
Desde ASELEC asesoría y abogados, estamos comprometidos con la protección de los datos de carácter personal. Hemos desarrollado protocolos internos de actuación para la adaptación al nuevo reglamento de protección de datos, y nos estamos especializando en el asesoramiento a terceros en esta materia. Dispondremos en breve de un servicio especializado de asistencia a nuestros clientes respecto a la aplicación normativa de la Protección de Datos de Carácter Personal que, adaptado a cada circunstancia, cumplirá con sus necesidades en esta materia.
Alberto Torrecillas
Economista
ASELEC asesoría y abogados