Sevilla, 27 de Marzo de 2017
JA/MF-C/105
Sección: Gerencia
Muy Srs. nuestros:
Con fecha 25 de mayo de 2016 entró en vigor el Reglamento Europeo de Protección de Datos, sin embargo, su cumplimiento no será obligatorio hasta dos años más tarde, es decir, el 25 de mayo de 2018. Se trata de una normativa fundamental que cambiará la forma de actuar en todos los Estados miembros de la UE y que implica una concienciación global sobre la privacidad de las personas y las empresas.
Pese a que en España existe la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley, al tratarse de un reglamento europeo, éste prevalecerá sobre la normativa española en cualquier situación que pueda existir una contradicción, por lo que debemos conocer las novedades que trae consigo de aquí al 25 de mayo de 2018 próximo.
Por este motivo, la Agencia Española de Protección de Datos (AEPD) ha puesto en marcha una campaña informativa para la adaptación al nuevo Reglamento de forma preventiva, a fin de que las pequeñas y medianas empresas conozcan el impacto que va a tener.
De forma resumida, se trasladan las principales novedades que las organizaciones empresariales deben tener en cuenta para cumplir con el nuevo Reglamento.
1º.‐ Se amplía el ámbito de aplicación a aquellas empresas que no estando establecidas en la UE realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la UE.
2º.‐ Se refuerza la exigencia del consentimiento mediante una declaración o acción afirmativa, no pudiendo deducirse del silencio o de la inacción, estableciéndose la obligación de disponer de Registro de consentimiento.
3º.‐ La figura del Delegado de Protección de Datos adquiere una importancia vital, siendo obligatorio para más empresas, para encargarse de garantizar el cumplimiento, notificar las infracciones de seguridad y tramitar las autorizaciones que sean necesarias. Esta figura puede formar parte de la plantilla o ser trabajador externo.
4º.‐ Se exigirán Evaluaciones de Impacto (EIPD) sobre todo en aquellos casos que vayan a tratar datos sensibles, teniendo que hacer esta evaluación antes de poder iniciar el tratamiento de datos personales. La Agencia Española de Protección de Datos publicará un listado de los tipos de operaciones que requieran una evaluación.
5º.‐ Se establece la protección de datos desde el diseño: la privacidad se convierte en pieza clave para que las empresas responsables determinen desde el primer momento qué medidas de seguridad deberá aplicar para el tratamiento de datos que va a realizar.
6º.‐ Se crea el Comité Europeo de Protección de Datos (sustituye al Grupo de Trabajo).
7º.‐ El régimen sancionador se vuelve más severo, sobre todo para aquellas empresas que tengan mayor facturación y afectarán tanto a los responsables como a los encargados de protección de datos. Se prevén poderes para sancionar con una advertencia, apercibimiento, solicitud de atención de ejercicio de derechos, limitaciones del tratamiento, y multas administrativas, con aumento de las cuantías.
Tras esta primera aproximación a las novedades del nuevo Reglamento y teniendo de plazo hasta el 25 de mayo de 2018, para que sea directamente aplicable a todos los Estados Miembros de la UE, sería aconsejable una actuación prudente y paulatina de adaptación al mismo por parte de las pequeñas y medianas empresas.
Desde Gaesco se hará un seguimiento de las normas que a nivel nacional se vayan publicando para el desarrollo y aplicación del Reglamento, trasladándolas puntualmente a nuestras Asociaciones / Federaciones provinciales para su conocimiento.
Sin otro particular, les saludamos muy atentamente.
Fdo. Juan Aguilera Ruiz