RGPD, ¿qué hay de nuevo? Ya en vigor una renovada LOPD y llegada de las primeras sanciones

Se ha hecho esperar más de lo previsto, pero ya está publicada en el BOE (Boletín Oficial del Estado) la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (la nueva LOPD o LOPDGDD).

• Una actualización de la legislación española con respecto al Reglamento General de Protección de Datos (RGPD) y las obligaciones digitales de las organizaciones que lleven a cabo algún tipo de tratamiento.
• La nueva normativa contiene 97 artículos  y 10 títulos siendo algunos de los más novedosos el derecho a la atualización de informaciones en medios de comunicación digitales, el derecho a la intimidad y uso de dispositivos en el ámbito laboral y/o el derecho a la desconexión digital en el entorno laboral.
• Ante la nueva situación habrá que estar muy al día de las novedades para evitar sanciones o, al menos intentar minimizar su impacto, siendo este uno de los principales objetivos que deberán tener las empresas actuales.

Desde la entrada en vigor del nuevo RGPD, el pasado mes de mayo, muchas empresas han estado en proceso de adaptación. Un proceso que no para, ya que desde el pasado 7 de diciembre ya tenemos en marcha la nueva LOPD (o LOPDGDD).

¿Quieres conocer al detalle cómo afecta a tu negocio? Echa un vistazo a nuestro apartado de Normativa legal con un resumen del BOE realizado por los expertos del Legal Team de Sage, sobre la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Accede desde este enlace.

Con todo ello, ahora, la realidad es que, ante un incidente de protección de datos, las sanciones pueden acabar por provocar un grave quebranto económico a la empresa.

Adaptarse al RGPD es un proceso complejo que muchas veces implica un cambio en los sistemas de tratamiento y seguridad de datos. También cobra especial importancia garantizar los derechos que tienen sus propietarios. De momento, se están imponiendo las primeras sanciones que suponen una cuantía muy importante para las empresas, especialmente para las más pequeñas. En este sentido, no es lo mismo estar adaptado al RGPD y sufrir un incidente que no haber tomado ninguna medida.

Siempre es posible recurrir dichas sanciones, pero la realidad es que las empresas más pequeñas pueden no contar con asesoramiento jurídico adecuado y en muchas ocasiones prefieren pagar antes que embarcarse en un procedimiento legal que creen que les va a dar más dolores de cabeza que soluciones.

Sanciones del RGPD, ¿pueden acabar con el cierre de una empresa?

La realidad es que el régimen sancionador de la antigua LOPD no tiene nada que ver con el nuevo RGPD. De hecho, las sanciones pasan de entre 900 y 600.000 euros, en función de la gravedad de la sanción, a un 4% del volumen del negocio anual o 20 millones de euros. Por lo tanto, puede suponer el cierre de una empresa que reciba una sanción muy grave.

El principal problema que muchas empresas todavía no han asimilado es que pueden ser sancionadas incluso si no han perdido datos. Basta simplemente algo que puede parecer tan trivial como enviar un currículum a otra persona fuera de nuestra empresa solicitando una segunda opinión para incumplir la ley. En este sentido, es imprescindible que los empleados estén formados en protección de datos.

Pero es que, además, las empresas tienen que tomar las medidas necesarias en función del grado de protección de los datos que tratan. La ley es ambigua en este aspecto y no impone obligaciones. ¿Hasta qué nivel tenemos las medidas necesarias? ¿Basta con un antivirus?¿Tenemos que disponer de un sistema antiintrusión?¿Cómo puede una pyme garantizar la trazabilidad o el mínimo privilegio de acceso a datos?

¿Cómo se establecen las cuantías de las sanciones?

La Agencia Española de Protección de Datos (AEPD) es la encargada de establecer la sanción, si procede, atendiendo a cada caso particular. Su graduación siempre debe atender a criterios de proporcionalidad y tener en cuenta los siguientes aspectos:

• Naturaleza, gravedad y duración de la infracción, así como su alcance, número de afectados o el nivel de daños.
• La negligencia de la empresa. No es lo mismo sufrir un incidente de seguridad si la empresa ha tomado medidas que si no lo ha hecho.
• Las medidas adoptadas por el encargado del tratamiento de datos para subsanar el problema, así como su responsabilidad en la toma de medidas aplicadas para salvaguardar la información.
• El grado de cooperación con la AEPD a la hora de esclarecer los hechos y el daño sufrido.
• El tipo de datos afectados por la infracción. No es lo mismo un dato médico o biométrico, que son de especial protección, que una dirección postal.
• Si se notificó o no la brecha de seguridad a las 72 horas de sufrir el incidente de seguridad.
• Si la empresa ha sido sancionada anteriormente con relación a algún incidente o no.

Contra la resolución de la AEPD se puede recurrir en caso de no estar de acuerdo, pero muchas pymes renuncian a ello al no disponer de un servicio jurídico que se ocupe.

Infracciones leves, graves o muy graves

La reciente publicación de la nueva adaptación de la LOPD para cumplir con lo exigido en el RGPD deja claros los diferentes casos en los que se considera una infracción muy grave, grave o leve.. Veamos solamente algunos ejemplos de las diferentes infracciones en función de su gravedad:

• Infracciones leves: no atender a los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos. Otro ejemplo sería la notificación incompleta, tardía o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales.
• Infracciones graves: no cooperar con las autoridades de control en el desempeño de sus funciones cuando sean requeridos, la falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño o la no integración de las garantías necesarias en el tratamiento, en los términos exigidos por el artículo 25 del RGPD.
• Infracciones muy graves: la utilización de los datos para una finalidad que no sea compatible con aquella para la cual fueron recogidos sin contar con el consentimiento del afectado o con una base legal para ello o la transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos o excepciones establecidos en los artículos 44 a 49 del RGPD.

Un reciente caso en Portugal en el que un hospital (que trata datos médicos de especial protección) no tomó las medidas adecuadas se ha saldado con una sanción de 400.000 euros por no recabar los consentimientos de los pacientes y, a la vez, no tomar las medidas adecuadas en el acceso a los datos de los mismos. No es una cuestión para tomarse a la ligera. Esta misma sanción se podría aplicar a una consulta de un dentista, que no tome las medidas oportunas y podría llevar a su cierre.