Establecer un correcto protocolo de protección de datos en una empresa u organización es un reto todavía mayor después de las infracciones del RGPD que establece este nuevo reglamento europeo. Si tienes preguntas sobre la importancia de aplicarlo, no dudes en solicitar asesoramiento a una consultoría de protección de datos sobre el tipo y las causas de las sanciones del RGPD a las que deberás hacer frente si no cuentas con un adecuado sistema de protección de datos en tu empresa.
La aplicación del Reglamento Europeo de Protección de Datos a partir del mes de mayo de 2018 implica que las empresas y organizaciones españolas tendrán que realizar un profundo trabajo para adaptar a estos nuevos requerimientos su protocolo de actuación, en lo referente a la protección de datos. Has de tener en cuenta el alto nivel de exigencia del RGPD, que establece un baremo de infracciones y sus correspondientes sanciones, el cual resulta mucho más estricto que el recogido por la LOPD.
Las infracciones del RGPD
El Reglamente General de Protección de Datos, a diferencia del criterio de establecimiento de infracciones de la LOPD, otorga el mismo nivel a todos los tipos de infracciones. Por lo tanto, podemos analizar todas desde una misma perspectiva legal.
Los principales tipos de infracciones que establece este Reglamento Europeo de Protección de Datos hacen referencia a:
· Los referentes al tratamiento de los datos.
· La falta de respeto a los derechos de los propietarios de los datos a tratar.
· La falta del adecuado control del cumplimiento de la protección de datos.
· El incumplimiento de las obligaciones del responsable y del encargado de la protección de datos.
· El incumplimiento de las obligaciones establecidas en las leyes de cada Estado miembro.
· El incumplimiento de cualquier resolución.
Factores que agravan las infracciones
Todos los tipos de infracciones citados hasta ahora se pueden ver agravados por algunos factores añadidos:
· La intencionalidad de los responsables de la infracción cometida.
· La duración en el tiempo de la infracción.
· La naturaleza de la infracción en la protección de datos cometida por la empresa.
· La responsabilidad del encargado del tratamiento de la información, teniendo en cuenta en esta valoración las medidas aplicadas a nivel técnico y de organización.
· Las medidas adoptadas para paliar los daños y perjuicios causados por la infracción del RGPD.
Aspectos a tener en cuenta en las infracciones
El establecimiento de infracciones y sus correspondientes sanciones, según el Reglamento General de Protección de Datos, tiene en cuenta diversos aspectos relacionados con el tratamiento de la información de los usuarios en una empresa, como, por ejemplo:
· La técnica aplicada en la protección de datos.
· El coste de la aplicación de los sistemas de tratamiento de datos.
· Los riesgos que representa el tratamiento de datos pata los usuarios de la empresa.
· La obligación de implantar las medidas adecuadas para la protección de datos en cada ámbito.
El papel del responsable del tratamiento de los datos
La regulación de las infracciones del Reglamento General de Protección de Datos también tiene en cuenta que el responsable del tratamiento de los datos de una empresa debe tomar las medidas necesarias a nivel técnico y organizativo y con el objetivo de garantizar que se cumple cada uno de los fines del tratamiento de datos establecido.
Entre las tareas que debe asumir para garantizar que la protección de los datos tratados no está en riesgo, destacan:
· El cifrado de los datos personales.
· La anonimización de las informaciones personales tratadas.
· La confidencialidad e integridad de los sistemas usados para el tratamiento de datos.
· La garantía del acceso a los datos personales tratados en cualquier momento e incluso si sucede cualquier incidente técnico.
· La verificación constante de la eficacia técnica de los sistemas elegidos para garantizar la seguridad del tratamiento de datos.
Consultoría de protección de datos: las sanciones del RGPD
El Reglamento General de Protección de Datos recoge los diversos tipos de sanciones que deben aplicarse a las infracciones del tratamiento de la información. Su artículo 83 establece que las multas administrativas pueden ser individuales, efectivas, proporcionadas y disuasorias, según la responsabilidad de la actuación y las circunstancias concurrentes en cada caso.
A la hora de imponer un tipo determinado de multa se tienen en cuenta los posibles riesgos de destrucción o pérdida de la información y la posibilidad del acceso no autorizado a los datos personales transmitidos. Asimismo, se tienen en cuenta otros factores:
· Las posibles infracciones cometidas con anterioridad.
· La cooperación con la autoridad de control para solucionar la infracción realizada y reparar sus posibles consecuencias negativas.
· Los datos personales que se hayan visto afectados.
· El modo en el que se comunicó la infracción a la autoridad de control correspondiente.
· La imposición previa de medidas contra el responsable del tratamiento de la información por infracciones realizadas anteriormente y relacionadas con el incumplimiento actual de las medidas.
· La adhesión a códigos de conducta y mecanismos de certificación comprobados con anterioridad.
La cuantía de las sanciones recogidas por el RGPD puede llegar, en los casos más extremos de infracciones, a multas de hasta 20.000.000 de euros o un 4 % del volumen total de negocio conseguido durante el año anterior, en los siguientes casos:
· La infracción de los principios básicos del tratamiento de datos, incluyendo su licitud y consentimiento.
· La afectación de los derechos de los usuarios, como los de rectificación, supresión y oposición y las decisiones individuales automatizadas.
· La infracción de los principios relacionados con las transferencias de datos personales a una organización internacional o persona jurídica o física ubicada en un tercer país.
En definitiva, el Reglamento General de Protección de Datos establece unos principios estrictos, hasta ahora, no reflejados en las leyes de tratamiento de la información a nivel español. Su establecimiento de categorías de infracciones RGPD y las consecuentes sanciones a pagar son dos herramientas fundamentales a la hora de garantizar que nuestros datos personales recibirán el tratamiento adecuado para garantizar su seguridad en la mayoría de los casos
