El próximo 25 de mayo de 2018 entrará en vigor la Normativa Europea de Protección de Datos (RGPD). Esto significa que todas las organizaciones (públicas y privadas) con actividad en la Unión Europea tendrán que cumplir con las nuevas normas de protección de datos.
Una vez que esta normativa entre en vigor, el originador de los datos continuará siendo el propietario, pero teniendo en cuenta que cualquiera que los procese pasará a ser también responsable. Es decir, que el reglamento contempla que todas las partes mencionadas tendrán responsabilidad individual sobre los datos que gestionan.
Pero ¿qué te ocurrirá si la incumples? La normativa prevé diferentes multas dependiendo de la naturaleza, gravedad y duración de la infracción. En cualquier caso, son bastante cuantiosas porque el objetivo no es el recaudatorio, sino que las empresas acaten la normativa. Así, la sanción puede variar entre el 2% y el 4% del volumen de ingreso anual de la empresa o entre los diez y los veinte millones de euros.
En el primer caso, la multa más leve se pondrá cuando la empresa u organismo no haya demostrado que tenga una seguridad adecuada, no haya designado a un delegado de protección de datos (DPO) o no haya elaborado un acuerdo sobre el procesador de datos.
La infracción más grave se impondrá a aquellos que hayan infringido los derechos de los sujetos de los datos, o la situación en la que se procesó esta información, sin una base jurídica.
RGPD europeo y administraciones locales
Como responsables y encargadas de tratar datos personales, debe haber una correcta adaptación del RGPD a las administraciones locales antes de que entre en vigor, dentro de poco más de cinco meses.
El impacto de la nueva normativa obligará a estos organismos a identificar con precisión la base jurídica, así como la finalidad de los tratamientos que se realicen. Además, tanto los poderes como el interés público que justifiquen dichos tratamientos deberán establecerse en la tramitación del anteproyecto de lafutura Ley Orgánica de Protección de Datos (LOPD). Es decir, una nueva normativa que adapte la nacional a las disposiciones contenidas en el nuevo reglamento europeo.
Por otra parte, como interesado debes manifestar tu consentimiento de manera libre, tras ser informado de forma específica y con una clara acción afirmativa. De manera que no quede lugar a dudas de la voluntad. Asimismo, las administraciones locales tendrán que adecuar la información que se da a los usuarios, cuando se recogen sus datos, a las nuevas exigencias y principios RGPD.
Siguiendo con la lista de tareas para la adaptación de las administraciones locales a la nueva ley, se establece la necesidad de poner al alcance del ciudadano mecanismos sencillos, visibles y accesibles para el ejercicio de derechos. También, de procedimientos para responder a dichos derechos en los plazos que haya previsto la reglamentación europea.
Empleados y actividades
Los trabajadores de las administraciones públicas que se encarguen de las operaciones de tratamiento de datos tendrán que ser evaluados en cuanto a si ofrecen garantías del cumplimiento de la ley. Y es que, su responsabilidad, como te hemos indicado más arriba, es bastante completa.
Además de los empleados, también se adecuarán los contratos de encargo de la administración a las previsiones de la normativa, así como establecer un Registro de Actividades de Tratamiento. En los casos de datos con especial protección (como la salud, la ideología, la religión o la etnia), el registro tendrá exigencias adicionales como la prohibición al tratar este tipo de información.
Solo podrá llevarse a cabo cuando sea necesario para el interés público esencial, como la prevención, la asistencia sanitaria o la salud pública (artículo 9.2 de la normativa comunitaria).
Además de esta legislación especial, con carácter general se han de revisar las medidas de seguridad de los tratamientos, según el resultado que se deduzcan de los análisis de riesgo. En el caso de que haya violaciones de datos, la ley te obliga a establecer mecanismos para detectarlos con rapidez y reaccionar cuanto antes.
Aunque te estemos hablando de administraciones locales, la norma les obliga también a adaptar sus instrumentos de transferencia internacional de datos personales. También, a valorar si los tratamientos que se hacen necesitan de una evaluación de impacto porque su protección suponga un gran riesgo para las libertades y derechos de los ciudadanos.
La figura del delegado de Protección de Datos
El Data Protection Officer (DPO) es quien garantiza el cumplimento del reglamento en las organizaciones, convirtiéndose, por tanto, en uno de los elementos clave.
Aunque no sustituye a las autoridades de control propias, el delegado de protección de datos actuará de forma independiente y necesitará tener unos requisitos concretos, como contar con conocimientos especializados del derecho y de protección de datos. Entre sus funciones destacan las de asesorar, informar y supervisar el cumplimiento de la normativa europea por parte del gerente o encargado de la empresa o administración.
No es necesario que sea jurista y podrá ser interno o externo a la organización en la que trabaja. El RGPD también indica que puede ser persona física o jurídica especializada en la protección de datos. En cuanto a las certificaciones necesarias que otorgará esta figura estarán a cargo de la AEPD (Agencia Española de Protección de Datos) y la ENAC (Entidad Nacional de Acreditación).
Asimismo, dos serán los esquemas de certificación en los que han trabajado durante varios meses ambos organismos. Por una parte, está el esquema que acredita a las entidades que pueden actuar como certificadoras de los delegados de protección de datos, y cuya autoría estará a cargo de la ENAC.
El segundo esquema o certificación será para aquella persona que cumpla los requisitos para ser delegado de protección de datos.
En conclusión, la RGPD tiene como objetivo la protección de los datos de los ciudadanos de una manera clara y con garantías. El cumplimiento abarca todos los segmentos del mercado, tanto públicos como privados. Se configura para ello una figura muy específica para que esto sea así, pudiendo poner multas muy elevadas con el objetivo de asegurar la información de los europeos.