La falta de concreción del nuevo REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), es el motivo de que muchas de las empresas tengas dudas a cerca de su correcta adaptación. Vamos a intentar esclarecer algunos de los puntos en los que la nueva normativa ha introducido modificaciones.
¿A quien se le aplica el RGPD?
A todas aquellas o empresas o autónomos que traten datos personales, ya sea como responsables o como encargados del tratamiento. Sin embargo, es importante destacar que no únicamente de aplica a aquellas establecidas en territorio europeo, sino que todas aquellas que traten datos personales de ciudadanos europeos, también están sometidas a esta normativa.
¿El número de empleados influye en su aplicación?
Cualquier empresa que trate datos personales, ya sea de clientes, empleados, proveedores, potenciales clientes… está sujeta a esta normativa, independientemente del tamaño de la misma o del volumen de datos que maneje.
¿Las empresas deben seguir registrando sus ficheros ante la AEPD?
No, la nueva normativa ha suprimido esta obligación. Sin embargo, para aquellas empresas con más de 250 trabajadores es obligatorio contar con un registro de actividades de tratamiento, que no es más que un documento que especifica el motivo por el que se tratan los datos y de qué manera se lleva a cabo este tratamiento.
¿Por qué se han enviado tantos correos electrónicos sobre el nuevo RGPD?
La gran mayoría de usuarios de internet esta recibiendo un aluvión de correos electrónicos a su buzón electrónico personal, con la finalidad de recabar el consentimiento para el tratamiento de sus datos. El nuevo RGPD obliga a las empresas o autónomos cuenten con un consentimiento expreso e inequívoco para poder realizar el tratamiento de los datos personales de sus clientes. No es necesario que el interesado lo otorgue de nuevo si la forma en que se dio la primera vez ya era expresa e inequívoca, pero hay que tener prueba de ello.
Además, la norma va más allá, pues una simple solicitud de consentimiento no sería suficiente. La normativa europea exige que la empresa/autónomo especifique una serie de aspectos, cómo cual va a ser la finalidad que se le va a dar a esos datos o si éstos se van a ceder a terceros. Todo ello con un lenguaje claro y sencillo, de fácil comprensión para el usuario.
Mención aparte merece la información comercial, también conocida como Newsletter, que muchas empresas envían a sus clientes. Si solicitamos el consentimiento para poder seguir enviándola y no se recibe respuesta, no tenemos base legitimadora del tratamiento y, en principio, ya no podríamos utilizar sus datos para esta finalidad.
¿Cómo pueden controlar los ciudadanos el tratamiento de sus datos?
Con la nueva normativa, los ciudadanos tienen, además de los derechos que ya poseía con la LOPD (derecho de acceso, rectificación, oposición y cancelación), dos nuevos derechos. Por un lado, el derecho al olvido, consistente en solicitar y obtener de los responsables que los datos personales sean eliminados cuando ya no sean necesarios para la finalidad para la que fueron recogidos, cuando se hayan obtenido de forma ilícita o cuando se haya retirado el consentimiento. Por otro lado, el derecho a la portabilidad, que permite solicitar la recuperación de sus datos en un formato que permita su traslado.
¿Qué infracciones pueden cometer las empresas y cuáles son las sanciones a las que se exponen?
Hay dos tipos de infracciones; por un lado, las leves, entre las que se encuentran a modo de ejemplo, la falta de designación del delegado de protección de datos (estando obligado a ello) o la falta de comunicación en tiempo y forma de las violaciones de seguridad. Por otro lado, están las graves, como tratar datos sin tener base legal suficiente (por ejemplo, consentimiento) o no cumplir una orden de la autoridad de control. Las sanciones que llevan aparejadas cada una de ellas son distintas, ya que las leves se castigan con multas de hasta 10 millones de euros o el 2% del volumen de facturación anual, mientras que para las graves la cuantía asciende a 20 millones o el 4% del volumen de facturación anual.
Sin embargo, cabe destacar que la AEPD, de manera excepcional y discrecional, puede enviar requerimientos, apercibimientos e incluso ordenes de cese, previo a la apertura de un procedimiento sancionador.
¿Pueden los trabajadores denunciar las infracciones en protección de datos que detecten en su empresa?
Cualquier trabajador puede solicitar a los tribunales de la jurisdicción social cualquier vulneración de la normativa, en orden a su propia protección o la de terceros, puesto que es un derecho constitucional. Con ello se instará al cese de la infracción, así como la reparación del posible daño ocasionado.
Obviamente, también pueden comunicar el incumplimiento directamente a la AEPD, a los efectos de que la misma inste un procedimiento sancionador.
