Categorías
Derecho y Nuevas Tecnologías

Las 10 dudas más frecuentes sobre la nueva Ley de Protección de Datos

A partir del próximo 25 de mayo todas las empresas y organizaciones, ya sean públicas o privadas, tendrán que aplicar el nuevo Reglamento General de Protección de Datos (RGPD). Esta nueva norma europea, que unifica las diferentes leyes nacionales que había hasta el momento, contiene obligaciones que no existían hasta la fecha. Conviene estar al día porque, de lo contrario, las sanciones por incumplimiento pueden alcanzar los 20 millones de euros o el 4% de la facturación anual en el caso de las grandes empresas. Life Abogados ha recabado las 10 preguntas más frecuentes que les hacen las compañías a la hora de adaptarse al marco normativo que entrará en vigor en apenas unos días.

Esta norma europea unifica las diferentes leyes nacionales que había hasta el momento y contiene obligaciones que no existían hasta la fecha

1.- Mi empresa es pequeña, tengo pocos trabajadores y no trato con consumidores finales, ¿me afecta esta nueva norma?

Sí, sí que te afecta. Cualquier empresa u organización que trate datos de carácter personal (ya sean de sus empleados, de sus clientes, de sus proveedores…) tiene que cumplir el nuevo reglamento con independencia de su tamaño o del volumen de datos que maneje.

2.- Si tengo hecha una auditoría en protección de datos se supone que ya estoy cumpliendo, ¿no me sirve?

Sí que te sirve, pero no es suficiente. Está claro que si ya tienes una política de protección de datos en la empresa es un buen punto de partida, pero debes tener en cuenta que el nuevo RGPD establece nuevas obligaciones. Por eso, tendrás que revisarlas y adecuar tus políticas de privacidad al nuevo Reglamento.

3.- Mi empresa presta servicios a terceros, lo que se conoce como outsourcing, ¿también tengo que cumplir esta norma?

Sí que debes cumplirla en la medida en que, para prestar los servicios, accedas o trates datos personales de sus clientes. Ten en cuenta que a la hora de elegir proveedores, las empresas buscan marcas de confianza que cumplan con la ley porque de lo contrario se enfrentan a sanciones millonarias. Por eso, deberás estar en condiciones de acreditar y garantizar ante tus clientes que te has adaptado y cumples con esta norma.

4.- Soy una empresa con la sede fuera de la UE, pero que hace venta online en algunos países de Europa, ¿tengo que cumplir con la ley?

Sí, ésta es precisamente una de las novedades más destacadas: a partir del 25 de mayo todas las empresas que ofrezcan bienes y servicios y manejen datos de ciudadanos de la Unión Europea deberéis someteros al reglamento, aunque tengáis vuestra sede fuera.

Las sanciones por incumplimiento pueden alcanzar los 20 millones de euros o el 4% de la facturación anual en el caso de las grandes empresas

5.- Mi empresa tiene delegaciones en otros países del mundo y para prestar un buen servicio compartimos información de clientes y de trabajadores, ¿me estoy saltando la nueva norma?

Depende. ¿Cuentas con el consentimiento expreso del interesado para transferir sus datos? ¿Le has informado de los riesgos que implica transferir sus datos a un país que no cuenta con las garantías adecuadas europeas? ¿Necesitas comunicar la información para realizar o ejecutar un contrato entre tu empresa y el titular de los datos? En caso contrario, ¿cuentas con la autorización de la Agencia Española de Protección de Datos? Como ves, lo mejor es que recurras a un experto en protección de datos para que te ayude a cumplir con todos los requisitos.

6.- He oído que el nuevo reglamento se basa en el principio de responsabilidad proactiva, ¿qué quiere decir eso?

Básicamente, significa que es la propia empresa la que tiene que decidir qué medidas de seguridad pone en marcha para proteger los datos y la privacidad de las personas. Además, debe ser capaz de demostrar que esas medidas son eficaces y cumplen con el reglamento.

7.- Entonces, ¿qué criterios hay que seguir para cumplir con el reglamento?

La nueva normativa exige que no se recopilen datos porque sí, y que sólo se traten los datos personales mínimos y necesarios para el logro de los fines legítimos de la empresa. Para ello debes analizar de qué medidas, tanto técnicas como organizativas, dispone tu empresa para evitar poner en riego los derechos y libertades de las personas titulares de los datos.

8.- ¿Puedo seguir usando mi base de datos como hasta ahora y mandarles publicidad, promociones, etc.?

Aquí hay que tener cuidado porque el nuevo reglamento exige que quien vaya a recibir esta publicidad o estas promociones haya dado su consentimiento expreso, ya no basta, por ejemplo, con que tengas una casilla premarcada en la que se da por enterado. Por tanto, deberás revisar que todos los registros de la base de datos están al corriente de para qué y cómo se van a usar sus datos y tienes que asegurarte de que te han dado un sí claro y rotundo. No vale que uses términos imprecisos y vagos. Esto requiere revisar todas las cláusulas de información que se usaban hasta ahora.

9.- ¿Hay que seguir registrando los ficheros de datos ante la Agencia Española de Protección de Datos?

No, ya no es obligatorio. Lo que sí que hay que hacer es un Registro de Actividades de Tratamiento. Esto no es otra cosa que documentar quien es el responsable de los datos, e inventariar el tipo de datos, cómo se tratan y protegen. Si tu empresa tiene más de 250 trabajadores o trata categorías especiales de datos (por ej. salud, ideología, etc), este registro es obligatorio. Si es más pequeña, no lo es , pero sí recomendable. Te servirá para demostrar que cumples con el nuevo reglamento, y debes tenerlo a disposición de la Agencia Española de Protección de Datos.

Con la llegada de la ley no habrá prórrogas ni periodos de gracia. La nueva norma entró en vigor en mayo de 2016, por lo que ya hemos tenido dos años para adecuarnos a ella

10.- ¿Quién es el delegado de protección de datos? ¿Tengo que nombrar esa figura dentro de mi empresa?

Es la persona designada por la empresa, puede ser interna o externa, para supervisar, coordinar y divulgar la política de protección de datos que sigáis. Además, será el enlace con la Agencia Española de Protección de Datos. Su nombramiento sólo es obligatorio en determinados casos: si eres un organismo o empresa pública (excepto los tribunales); si tu empresa realiza una observación habitual y sistemática de personas a gran escala (seguimiento por internet, localización de usuarios a través de apps, elaboración de perfiles, decisiones basadas en comportamientos –tracking, profiling, scoring-, programas de fidelización) o si manejas datos de personas a gran escala sobre temas sensibles (salud, ideología, orientación sexual, antecedentes penales…).

Por último, y no menos importante, tened en cuenta que con la llegada de la nueva ley no habrá prórrogas ni periodos de gracia. La nueva norma entró en vigor en mayo de 2016, por lo que ya hemos tenido dos años para adecuarnos a ella. Por eso, si el próximo 25 de mayo no estás al día y sufres una denuncia por incumplimiento, la Agencia Española de Protección de Datos podrá sancionarte con la multa correspondiente.

Cristina Bonal,
socia de Life Abogados