CAMBIOS DE LA GDPR CON RESPECTO A LA LOPD.
Los cambios de
un reglamento a otro son numerosos, y las consecuencias de incumplir la ley
también varían, siendo mucho más duras en el nuevo escenario. Las más
importantes afectan a la ubicación de la empresa, al derecho al olvido y al
consentimiento.
UBICACIÓN
Podría decirse que la
mayor revolución en el panorama regulatorio de la privacidad de los datos
proviene de la jurisdicción ampliada del GDPR. Ahora se aplica a todas las
empresas que procesan datos personales de ciudadanos que residan en la Unión,
independientemente de la ubicación de la empresa.
Anteriormente, la
aplicabilidad territorial de la directiva era ambigua y se refería al proceso
de datos en función del contexto de cada compañía. Este tema ha sido
problemático en una serie de casos judiciales de alto perfil. El GPDR
simplifica y aclara las cosas, pues también se aplicará al procesamiento de
datos de personas en la UE que estén en manos de un controlador establecido
fuera de la Unión.
El GDPR es meridiano en
este aspecto: mientras la compañía procese o almacene datos personales de
residentes en la UE, está obligada a cumplir las reglas, sin importar dónde se
encuentren su sede o sus servidores. Esto supone un cambio trascendental para
grandes multinacionales del sector tecnológico como Facebook o Amazon, que
ahora pasan a estar regidos por la norma comunitaria por más que sean
extranjeras.
DERECHO AL OLVIDO
El llamado “derecho al olvido” confiere potestad al ciudadano
para obligar a la entidad que posee sus datos a borrarlos de sus archivos y
cesar su difusión. En las condiciones para el borrado, tal y como se describen
en el artículo 17, figuran circunstancias tales como que los datos ya no sean
relevantes para los propósitos originales que motivaron su procesamiento, o que
los dueños de los datos, sencillamente, retiren el consentimiento.
También se debe tener en
cuenta que este derecho exige que los controladores comparen los derechos de
los ciudadanos al interés público en la disponibilidad de los datos una vez se
evalúen dichas solicitudes.
CONSENTIMIENTO
Las condiciones para el consentimiento se han fortalecido, y las
empresas ya no podrán usar términos y condiciones indescifrables repletos de
jerga legal, ya que la solicitud de consentimiento debe darse en una forma
inteligible y de fácil acceso. El propósito es que sea tan simple y rápido
retirar el consentimiento como darlo.
¿CÓMO AFECTA A LAS PYMES?
En lo que respecta a las
pequeñas y medianas empresas, de acuerdo con los datos arrojados por una
encuesta llevada a cabo por el antivirus Sophos, las pymes no están
suficientemente alerta de los cambios que vienen.
Según este sondeo, el 80% de
las compañías de Reino Unido, Francia, y el BENELUX declara ignorar las
consecuencias del GDPR.
En el conjunto de Europa la
cifra se reduce, pero no mucho: hasta un 55% de las compañías afirma no tener
claras cuáles pueden ser las cuantías de las multas en caso de incumplir con la
normativa.
MULTAS
El escenario es preocupante, ya
que una de las grandes características del nuevo reglamento con respecto al
anterior se refiere a la suma de las sanciones, de mayor calado.
A partir del 25 de mayo, las
multas podrán alcanzar los 20 millones de euros o el 4% de la facturación
global del negocio, lejos de los 600.000 que hasta el momento suponen el máximo
pagado por una empresa española como consecuencia de un incumplimiento de la
(de momento vigente, pero en pocos meses obsoleta) LOPD.
Por ello, se hace esencial que
las pymes tengan claras cuáles son sus nuevas obligaciones a falta de sólo unos
meses para que la GDPR entre en vigor.
NUEVOS REQUISITOS QUE LAS PYMES NO DEBEN OLVIDAR
Algunas de las medidas más
apremiantes que los empresarios deben cumplir rigurosamente, ya que difieren de
la ley actual, son las siguientes:
·
Registro
de las actividades. Las personas jurídicas y los encargados de tratamiento que
gestionen datos de carácter privado habrán de llevar de forma inexcusable un
registro de las actividades que realicen con esos datos.
·
Portabilidad
de los datos. Las empresas estarán obligadas a la portabilidad de los datos de
un servicio a otro si el cliente así lo demanda. Como consecuencia, los
ciudadanos podrán retirar sus datos al cancelar una suscripción o llevarlos a
otra compañía si se cambian de proveedor.
·
Evaluaciones
de impacto. Será obligatoria la puesta en marcha de evaluaciones de impacto
antes de ejecutar gestiones que puedan conllevar un alto riesgo para los
derechos y libertades de las personas físicas. La
·
medida que se
prevé para su vigilancia es una consulta previa a la Autoridad de control, que
es el organismo al que el país en cuestión deberá acogerse para controlar,
reglamentar e inspeccionar la gestión de datos de tipo personal. Esto incluye,
sin ir más lejos, el control de impacto de aquellos datos manejados por las
empresas que pongan de manifiesto cuestiones ideológicas o datos referentes a
la salud o la sexualidad de una persona.
·
Delegado de
Protección de Datos. Es imperativo que las empresas nombren un Delegado de
Protección de Datos si en su actividad concurren determinadas circunstancias
como, por ejemplo, que la gestión sea efectuada por una autoridad o un
organismo público (salvo en el caso de los Tribunales que lo hagan en el marco
de su labor judicial). También estarán sujetas a ello aquellas pymes cuya
función principal consista en la gestión a gran escala de datos de categorías
especialmente sensibles como las que atañen a la etnia o religión de una
persona. De esta manera, el Delegado de Protección de Datos será, salvando las
distancias, como un policía de asuntos internos cuya función pasa por
supervisar que todo lo que se haga en la empresa a ese respecto se ciña a la
GDPR.