Aspectos claves de la normativa de protección de datos en 2019 para una empresa

Estando en España, al hablar de protección de datos en el año 2019 nos tienen que venir dos pilares esenciales: de un lado, el Reglamento Europeo de Protección de Datos y, de otro, la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD). Analizaremos en este artículo, muy brevemente, ambas normas.

Por lo que respecta al Reglamento Europeo hay que partir de dos ideas clave. De un lado, el gran cambio que supone respecto a la Directiva 95/46/CE, consecuencia del cual la Unión Europea debatió el texto durante cuatro años y, de otro, la aplicabilidad directa del mismo sobre todos los Estados miembros de la Unión Europea, sin necesidad de que haya una norma nacional que la trasponga. Aunque, como hemos dicho, sí existe una nueva norma nacional pero no de transposición sino una nueva norma nacional que nace a raíz del Reglamento Europeo pero que, en nada, lo contradice. Nos referimos, por supuesto, a la LOPDGDD.

No cabe duda de que el Reglamento Europeo -y, por supuesto, la LOPDGDD- ha venido a dar respuesta al enorme impacto que han supuesto, y siguen suponiendo, las Tecnologías de la Información y las Comunicaciones (TIC) en todos los ámbitos de la vida política, social, económica y de ocio a nivel mundial y, por supuesto, a realidades como las Redes Sociales, el cloud computing o el Big data que, en 1995, cuando se dictó la Directiva, eran inimaginables.

Comentamos aquí brevemente las principales novedades del Reglamento Europeo de protección de datos que han de tener en cuenta tanto los responsables como los encargados del tratamiento. Estas obligaciones son:

• Realizar un registro de actividades del tratamiento
• Determinar la base legitimadora de cada uno de los tratamientos. El Reglamento Europeo contempla seis, a saber: consentimiento del interesado, necesario para un contrato, cumplimiento de obligación legal, necesario para misión en interés público, interés legítimo del responsable del tratamiento o necesario para proteger intereses vitales del interesado.
• Cumplir con el deber de información sobre el tratamiento de datos de carácter personal.
• Cumplir con los principios -obligaciones- contemplados en el Reglamento Europeo, a saber: minimización de datos, limitación de la finalidad, confidencialidad e integridad, licitud, lealtad y transparencia, limitación del plazo de conservación y el de exactitud.
• Designar un Delegado de Protección de datos, cuando sea obligatorio
• Firmar un contrato con las entidades que actúen como encargados del tratamiento
• Realizar un análisis de riesgos y adoptar todas las medidas de seguridad que sean necesarias para reducir el riesgo al máximo
• Realizar una evaluación de impacto, en caso de que la entidad se encuentre en alguno de los supuestos contemplados en el Reglamento Europeo
• Desarrollar un protocolo de atención al ejercicio de derechos y atender los derechos en tiempo y forma. Los derechos que contempla el Reglamento Europeo son: derecho de acceso, derecho de rectificación, derecho de oposición, derecho de limitación del tratamiento, derecho de supresión y derecho de portabilidad.
• Notificar las brechas de seguridad que tengan lugar en la entidad siempre y cuando afecten a los datos de carácter personal
• Cumplir con el principio de accountability: documentando y dejando trazabilidad de todas las acciones que adopte de cara a cumplir de manera activa y constante en todos los tratamientos de datos que realice.

Además de las obligaciones, conviene hacer una llamada de atención sobre el régimen de responsabilidades y sanciones previsto por el texto europeo en caso de incumplir lo dispuesto en él. Con la intención de que a ninguna entidad “le salga rentable” violar el derecho fundamental a la protección de datos, prevé elevadas sanciones –que pueden llegar a ser de hasta 20 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior”

Por su parte, la LOPDGDD regula cuestiones que el Reglamento Europeo no contempla. De todas ellas, destacamos las siguientes:

• Videovigilancia
• Tratamiento de datos de personas fallecidas
• Canales de denuncias internas
• Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales
• Deber de bloqueo
• Sistemas de información crediticia

Y, para finalizar con el breve análisis de la LOPDGDD, traemos a colación la lista de derechos digitales que ha incorporado la nueva ley española en su Título X, a saber:

• Los derechos en la Era digital.
• Derecho a la neutralidad de Internet.
• Derecho de acceso universal a Internet.
• Derecho a la seguridad digital.
• Derecho a la educación digital.
• Protección de los menores en Internet.
• Derecho de rectificación en Internet.
• Derecho a la actualización de informaciones en medios de comunicación digitales.
• Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
• Derecho a la desconexión digital en el ámbito laboral.
• Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
• Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.
• Derechos digitales en la negociación colectiva.
• Protección de datos de los menores en Internet.
• Derecho al olvido en búsquedas de Internet.
• Derecho al olvido en servicios de redes sociales y servicios equivalentes.
• Derecho de portabilidad en servicios de redes sociales y servicios equivalentes.
• Derecho al testamento digital

Por último, y pese a que en este breve espacio no se puede profundizar en todas las novedades que incorporan ambas normas en materia de protección de datos, sí queremos finalizar este artículo haciendo hincapié en la importancia de que tanto los responsables como los encargados del tratamiento cambien la actitud en lo que a cumplimiento de la normativa en protección de datos se refiere: pasando de una actitud reactiva a una actitud preventiva y de cumplimiento constante.