El 14 de abril de 2016 el Parlamento Europeo dio el visto bueno al nuevo marco jurídico en materia de protección de datos para toda la Unión Europea (RGPD), y cuya entrada en vigor está prevista para el 25 de mayo de 2018.
Si tenemos en cuenta que el anterior marco normativo (Directiva 95/46/CE) data del año 1995, –la cual que fue traspuesta a nuestro ordenamiento jurídico por la vigente Ley Orgánica de Protección de Datos (LOPD) de 1.999–, podemos considerar la aprobación del Reglamento Europeo como el hecho más destacable en la materia en los últimos 15 años.

¿De que manera afectará a las empresas, entidades, administraciones públicas y otros organismos?

Observando la intensidad de los cambios introducidos por el RGPD podemos afirmar que éste representa un nuevo escenario legislativo en materia de privacidad, tanto por su ámbito de aplicación como por lo importante de los cambios que produce.
Aunque la entrada en vigor del mismo no significa que sea aplicable desde dicha fecha, habrá que tener en cuenta su efecto directo (no necesita de ley nacional para su aplicación directa en España), aun cuando los países puedan legislar sobre aspectos concretos del mismo.
En este sentido, se ha de destacar aspectos como las obligaciones del Responsable y Encargados del Tratamiento que aumentan significativamente, especialmente en el segundo caso, ya que los ciudadanos ocuparán un papel principal en materia de protección de datos con la adquisición de nuevos derechos y el establecimiento de importantes atribuciones a las autoridades de control nacionales, –en España la AEPD-; todo ello con el fin de ofrecer una mayor seguridad jurídica y contribuir al desarrollo de un Marco Legislativo unificado.
Así pues, estos cambios obligarán a las empresas, entidades y administraciones publicas a realizar una valoración del impacto del mismo en sus organizaciones, de tal modo que puedan afrontar con garantías las novedades.

¿Cuáles podríamos destacar como las novedades más importantes?

• Se produce un aumento significativo de la cuantía de las sanciones, previendo la imposición de sanciones de hasta 20 millones de euros o el 4% de la facturación anual del anterior ejercicio fiscal, según sea el importe más elevado.
• Será necesario tener en cuenta aspectos como la privacidad desde el diseño y por defecto, debiendo realizar un análisis de un nuevo producto o servicio que pretenda tratar datos de carácter personal, aplicando procedimientos, políticas y medidas de seguridad que permitan cumplir y acreditar el cumplimiento del marco legislativo desde el momento en el que se diseña.
• Este hecho puede suponer la obtención de una ventaja competitiva, al poder identificar y minimizar las características que deberá tener el producto o servicio lo que puede suponer un ahorro de costes significativo, además de cumplir con la normativa frente a otros productos o servicios que no la cumplan.
• Se deberán de realizar evaluaciones del Impacto, que obligarán a documentar las operaciones de tratamiento de datos personales que se realicen y determinar las acciones a tomar para asegurar si es viable.
• Delegado de Protección de Datos en aquellas empresas u organizaciones en las que se cumplan ciertos requisitos establecidos en el Reglamento deberán designar un Delegado de Protección de Datos. Se admitirá que el mismo sea externalizado.
• Se deberán notificar las violaciones de la seguridad cuando afecten a los datos personales tratados, comunicándose en el plazo máximo de 72 horas a la autoridad nacional de control y, en función de la gravedad de los hechos, a los propios interesados.
• Cambios en la obtención del consentimiento expreso de los afectados que obligará a emplear un lenguaje claro que permita conocer fácilmente las finalidades del tratamiento.

¿De cuánto tiempo se dispone para adecuarse a la nueva normativa?

Las empresas disponen de un plazo de dos años para adaptarse al RGPD (hasta el 25 de mayo de 2018), a partir de entonces sus disposiciones serán de aplicación directa en España.

¿Qué debo hacer como empresario?

Desde Monfort & Bonell siempre hemos mantenido una posición proactiva y de anticipación como claves para evitar cualquier riego, por ello, con el fin de tomar la iniciativa respecto de las obligaciones establecidas por la normativa, recomendamos a las empresas, organizaciones y administraciones el inicio de acciones de revisión del nivel de cumplimiento actual, –especialmente de sus políticas, procedimientos y procesos de gestión, sin descuidar la formación a empleados–, en aras de adecuarse a los cambios que introducirá el nuevo Reglamento, minimizando los costes y aprovechando las oportunidades que pueda suponer frente a colectivos de los titulares de datos, como pueden ser clientes, trabajadores, o la propia competencia, una pronta adaptación al RGPD.

Empezar a valorar la implantación de algunas de estas medidas previstas es, sin duda, la mejor manera de afrontar la nueva normativa europea, como serían identificar el tipo de tratamiento que debemos realizar o el grado de complejidad que deberemos llevar a cabo. Realizar una planificación desde el inicio nos asegura una correcta ejecución de nuestras obligaciones en el momento de su entrada en vigor, la cual nos permitirá detectar posibles dificultades o errores que nos posibilitará corregir antes de su entrada en vigor.

Para ayudar a nuestros clientes a afrontar de manera más sencilla las nuevas obligaciones, nuestra firma pone a su disposición un equipo de especialistas en la materia que podrán realizar una valoración inicial de su empresa, una propuesta de adaptación o resolver cualquier duda al respecto