Reglamento General de Protección de Datos (RGPD): novedades, sanciones y otros problemas derivados de su incumplimiento que te interesa conocer

Nadie en su sano juicio dejaría el dinero en efectivo al alcance de cualquiera, sin embargo los datos se acumulan en ordenadores y papeles, en muchos casos sin las debidas medidas de seguridad, algo que puede tener consecuencias muy negativas para el negocio, además de incumplir el Reglamento General de Protección de Datos (RGPD).

El Reglamento (UE) 2016/679, más conocido como Reglamento General de Protección de datos, aprobado por el Parlamento Europeo y el Consejo, el 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, es de obligada aplicación desde el 25 de mayo de 2018.

Además, en nuestro país, también se ha aprobado el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos. Esta nueva normativa afecta a todas las empresas en cuanto dispongan de datos personales de clientes, trabajadores y terceros, potenciando un compromiso activo en la salvaguardia de los derechos fundamentales, en particular los que tienen que ver con la privacidad en todos los ámbitos, pero especialmente en internet.

La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental, de manera que toda persona tiene derecho a la protección de sus datos de carácter personal, buscándose con esta normativa un marco común para la salvaguarda de este derecho fundamental en todos los Estados miembros.

Novedades más relevantes del nuevo reglamento de protección de datos

Las empresas y entidades deben revisar sus actuaciones en materia de protección de datos, para adaptarlas y adecuarlas a los nuevos requerimientos del RGPD, entre las que se encuentran:

• Derecho de supresión o "derecho al olvido". Los interesados tienen derecho a que se rectifiquen los datos personales que les conciernen y un «derecho al olvido» si la retención de tales datos infringe el RGPD. En particular, los interesados tienen derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados.
• Derecho a la portabilidad. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.
• Creación de la figura del delegado de protección de datos (DPO - data protection officer). El delegado de protección de datos participará de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
• Análisis de riesgos y evaluaciones de impacto. Son de obligada realización para determinar el cumplimiento normativo.
• Nuevas notificaciones a la autoridad de control. Es obligado realizar notificaciones relativas a brechas de seguridad.
• Obligación de registrar documentalmente las operaciones de tratamiento. Esta obligación es para los responsables y encargados del tratamiento.
• Establecimiento de una “ventanilla única”. Para que los ciudadanos interesados puedan efectuar sus trámites.
• Incremento muy significativo de las sanciones.
• Establecimiento de obligaciones para nuevas categorías especiales de datos.
• Minimización de datos. Los datos personales recabados deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
• Transparencia. Los datos personales deben ser tratados de manera transparente en relación con el interesado.

Indemnizaciones y sanciones por incumplimiento del RGPD

En el artículo 82.1 del RGPD se establece que "toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos".

En el artículo 83 se hace referencia a la cuantía de las multas administrativas, de manera que dependiendo del artículo del RGPD que haya sido vulnerado, las multas impuestas pueden ir desde los 10 millones de euros (o el 2 % como máximo del volumen de negocio total anual global) hasta los 20 millones de euros (o el 4 % como máximo del volumen de negocio total anual global).

Otros problemas derivados de un deficiente control de los datos

Las organizaciones con pérdida de datos de sus clientes, proveedores, usuarios o empleados tienen una pérdida de credibilidad que puede socavar su cifra de negocio, además de estar obligadas a paliar los daños y perjuicios sufridos por los interesados. Casos como el de la pérdida de datos de Facebook suponen un duro golpe para la imagen de las compañías.

Además, si datos relativos a los empleados trascienden, pueden generar conflictos internos, como, por ejemplo, si trascienden los importes de las nóminas de los trabajadores.

Por otra parte, una fuga de datos al exterior puede complicar la competitividad de la empresa; por poner otro ejemplo, si un comercial se va con una base de datos de clientes y sus condiciones a la competencia, esto puede reducir las ventas de la compañía.

El Curso de Protección de Datos de Carácter Personal que se imparte en el CEF.- es la formación idónea para todo aquel que quiera conocer el sistema de protección de datos de carácter personal, ya que estudia las técnicas y procedimientos que tienen por objeto establecer una correcta política de datos personales cumpliendo con la legislación vigente para minimizar los riesgos de sanciones por incumplimiento o cumplimiento defectuoso de las prescripciones legales.

José Ramón Fernández de la Cigoña Fraga
Colaborador del CEF