El nuevo reglamento de protección de datos, que entra en vigor el próximo 25 de mayo de 2018, implica una serie de medidas de importante calado que las PYMES deben cumplir.
Algunas de las medidas más apremiantes, y que difieren de la ley actual, son:
- Registro de las actividades. Las personas jurídicas y los encargados de tratamiento que gestionen datos de carácter personal habrán de llevar de forma inexcusable un registro de las actividades que realicen con esos datos.
- El RGPD mantendrá los mismos principios del consentimiento que establece la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco. Sin embargo, como novedad respecto de la LOPD, indica que para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad. El silencio, las casillas ya marcadas o la inacción no constituirán prueba de consentimiento (Considerando 32 del RGPD). Es aconsejable que las empresas y organismos revisen la forma en la que recaban el consentimiento y eliminen las prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa pero que dejarán de serlo cuando el Reglamento sea de aplicación. Asimismo, en relación con el tratamiento de datos de menores, se recomienda aplicar ya los requisitos de edad establecidos en el RGPD.
- El Reglamento establece la obligación de informar sobre nuevos aspectos. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, el período de conservación de los mismos y que los interesados podrán dirigir sus reclamaciones a las Autoridades de protección de datos, si consideran que hay un problema con la forma en que están manejando sus datos. En lo que respecta al interesado cuyos datos se han obtenido de otra fuente, la información anteriormente indicada deberá facilitarse en el plazo de máximo de un mes(en lugar de los tres meses indicados en la LOPD). Es aconsejable que las empresas y organismos comiencen ya a revisar los contenidos de las leyendas legales que hayan incorporado en los procesos de recogida de datos (on line/ off line) para ir adecuando la redacción a los nuevos requerimientos del RGPD
En lo relativo a las sanciones el escenario es preocupante, ya que una de las grandes novedades del reglamento es el importe de las multas, notoriamente superiores al de la actual normativa.
Así, a partir del 25 de mayo, las multas podrán alcanzar los 20 millones de euros o el 4% de la facturación global del negocio, lejos de los 600.000€ que hasta el momento suponen el máximo pagado por una empresa española como consecuencia de un incumplimiento de la actual LOPD.
Míguez Soto Avogados