A partir del próximo día 25 de mayo de 2018 resulta de aplicación general y directa en todo el territorio de la Unión Europea el Reglamento de Protección de Datos, de 27 de abril de 2016. Los cambios que introduce, que aquí reseñaremos brevemente, son intensos, de ahí el periodo transitorio de dos años, a fin de posibilitar la preparación y adopción de las medidas aptas para dar cumplimiento a la nueva normativa.

Uno de los mayores cambios lo representa el principio de responsabilidad proactiva que ilumina a toda la norma. Y es que ya no es suficiente con dar cumplimiento a la normativa, de una forma pasiva, sino que se requiere a los responsables del tratamiento la toma de las medidas apropiadas para garantizar y poder demostrar que el tratamiento de los datos se ajusta al Reglamento.

Una de las manifestaciones de este principio es la creación de la figura del “Data Protection Officer” (DPO) o delegado de protección de datos, que será la persona encargada de garantizar el cumplimiento de la normativa desde el punto de vista legal y técnico, estableciendo planes que permitan garantizar que el tratamiento de los datos correctamente. La clave de esta figura, voluntaria por norma general para empresas o instituciones públicas con menos de 250 trabajadores, por norma general reside en su necesaria capacitación acreditada, su independencia en el ejercicio de sus funciones sea o no empleado, así como el desarrollo de estas en exclusiva, lo que ya lo diferencia sobremanera de la antigua figura del responsable de seguridad prevista en la ya añeja Ley Orgánica de Protección de Datos. Entre dichas funciones cabe destacar, además de las obvias cifradas en el asesoramiento al responsable o al encargado del tratamiento de datos y sus empleados o la supervisión del cumplimiento normativo, la de servir de punto de contacto con la autoridad de control, cooperando con esta cuando así se requiera.

En cuanto a las obligaciones respecto a los ficheros, cabe recordar que, conforme a la LOPD, con carácter previo a su creación, se exige la comunicación al Registro de la Agencia Española de Protección de Datos. Ahora, se sustituye por la obligación de elaborar un registro de actividades de tratamiento comprensivo de datos como el nombre y contacto del responsable y del DPO, finalidad del tratamiento, descripción de categorías de interesados y categorías de datos personales tratados, etc. Igualmente, se prevé la obligación de realizar una valoración del riesgo del tratamiento realizado.  No obstante, de igual modo que con respecto a la necesidad de contar con el DPO, las organizaciones que empleen a menos de 250 trabajadores están exentas de cumplir sendas obligaciones.

Desde la óptica del usuario, otro de los principales cambios se refiere a la prestación del consentimiento en cuanto al tratamiento de sus datos, debido a la existencia de supuestos en los que se considera válido el recibido de manera tácita, mientras que, con arreglo al Reglamento, deberá ser claramente expreso y, por tanto, explícito. Asimismo, se amplían e intensifican los denominados derechos ARCO de los afectados (derechos de acceso, rectificación, cancelación y oposición), debiendo los responsables facilitar su ejercicio, el cual deberá ser gratuito como regla general. Para resolver cualquier petición derivada de estos derechos se establece el plazo de un mes –dos para solicitudes especialmente complejas- debiendo motivarse, en su caso, la negativa a atenderla.

Por último y no menos importante, es necesario señalar el aumento considerable de las cuantías de las sanciones, que ya eran de por sí altas en nuestro ámbito nacional, en aras de disuadir a los responsables y encargados del tratamiento a la hora de incumplir sus previsiones. Así, ante sanciones de carácter muy grave, pasamos de 300 000 euros como máximo a 20 millones de euros o el 4% del volumen de negocio total anual del ejercicio precedente.

En definitiva, las empresas tienen ante sí un nuevo régimen que les obliga a adaptarse mediante el cambio profundo de sus esquemas y procedimientos para cumplir con todas las exigencias normativas, exponiéndose a severos riesgos en caso contrario.

Nuestro despacho está especializado en este área. El asesoramiento personalizado resulta vital para la correcta consecución de objetivos. Encuentre una solución eficaz a sus problemas poniéndose en contacto con nuestro equipo de letrados, 954 70 91 45 o contacto@gutierrezbeusterabogados.com

Este es mi criterio, salvo mejor opinión fundada en Derecho, no sirviendo el mismo como asesoramiento jurídico.