LA CULTURA DEL CUMPLIMIENTO EN EL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS PERSONALES

Complianza Expertos en Cumplimimiento Normativo

LA CULTURA DEL CUMPLIMIENTO EN EL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS PERSONALES (RGPD)

 

www.complianza.net

 

I. Un nuevo marco normativo de la protección de los datos personales en la Unión Europea.

 

El DOUE el 4 mayo de 2016 publicó el Reglamento UE 2016-679 del Parlamento Europeo y el Consejo de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos- RGPD-) aplicable directamente en todos los Estados de la UE a partir del próximo 25 de mayo de 2018, y derogando una  Directiva 95/46/CE en vigor durante más de 20 años.

Las expectativas de un mercado único digital planteadas por la Comisión Europea (COM (2015) 192 final, Bruselas, 6.5.2015), marcan el inicio de una nueva política legislativa comunitaria de la economía digital abandonan los instrumentos armonizadores en favor de los unificadores como el reglamento comunitario y apostando por el fomento de la TICs como una política europea horizontal que afecta a todos los sectores económicos y al sector público.

Los datos, y en concreto los personales adquieren doble relevancia en el mercado digital: de un lado, como Derecho Fundamental (Art. 1 Carta Europea de los Derechos Fundamentales; Art. 18.4 Constitución Española) y por otro, como factor de producción una fuente de negocio o “una nueva moneda de cambio” de la economía digital (son la piedra angular del sistema digital).

El Reglamento recoge el llamado derecho al olvido

El Reglamento afronta el régimen jurídico de una materia exigente de los mayores estándares de seguridad jurídica por ser derecho fundamental pero su contenido no es absoluto y evoluciona al amparo de resoluciones de distintos órdenes jurisdiccionales (se reconocen nuevos derechos como “el olvido” tras la sentencia TJUE caso C-131-12 Google Spain SL; Google Inc y Agencia Española de Protección de Datos, derecho de portabilidad…); además se pretende la protección de las personas físicas y su privacidad “tecnológicamente neutra”, si bien la evolución propia de las TICS (privacy by desing o default, big data, internet de las cosas (Iot), etc) condiciona este objetivo.

Desde el punto de vista formal, la utilización del reglamento europeo como instrumento jurídico de unificación y uniformidad del régimen jurídico de los datos personales en la Unión es más teórico que real. El RGPD no puede garantizar el mismo nivel de protección de los datos personales en todos los Estados Miembros toda vez que:

a) el propio Reglamento contiene habilitaciones expresas y remisiones a las legislaciones nacionales sobre protección de datos (en España el nuevo anteproyecto de LO de Protección de datos, sometido a informe del Consejo de Ministros el 7.07.2017, cuenta con 78 artículos) generando nuevas fuentes normativas;

b) coexisten reglamentaciones sectoriales específicas que difieren del régimen general para la prevención, investigación, detección o enjuiciamiento de infracciones penales y/o ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública o terrorismo entre otros.

El RGPD formalmente se puede considerar como un instrumento de unificación directamente aplicable en todos los Estados miembros, pero funcionalmente exige la adaptación y armonización de las legislaciones nacionales como si de una directiva se tratase. Un régimen jurídico uniforme pero fragmentado territorialmente.

 

 

II. RGPD y la cultura del cumplimiento.

 

El RGPD y la Directiva 95/46/CE que deroga comparten el mismo principio: “las personas físicas deben tener el control de sus datos personales”, si bien el marco jurídico homogéneo que pretende crear el Reglamento supone un cambio sustancial de enfoque hacia una verdadera cultura de la prevención y protección de los datos personales en la Unión.

El RGPD introduce nuevos principios de protección de datos personales

El Reglamento trata de simplificar la burocracia que la implementación de sistemas de protección de datos supone a las empresas y responsables de tratamiento de datos personales, en este sentido, desaparece la obligación de la notificación previa a la autoridad de control exigida por la Directiva para poder realizar un tratamiento de datos personales, pero incorpora en su articulado obligaciones y principios directamente relacionados con la gobernanza empresarial, los modelos de gestión de riesgos y el cumplimiento normativo, ya exigidos en otras materias del Derecho como prevención de riesgos laborales o el compliance penal.

El reciente RGPD introduce nuevos principios de protección de datos personales (Art. 5) que habían sido establecidas como mejores prácticas por el denominado “Grupo de trabajo del artículo 29” como:

  • El principio de transparencia en la forma de tratar los datos personales.
  • El principio de responsabilidad proactiva en el cumplimiento de los principios de protección de datos de forma, además, que se pueda acreditar (“accountability”).
  • Protección de datos desde el diseño u obligación de integrar los principios de protección de datos en el diseño de cualquier proyecto, producto o servicio que requiera un tratamiento de datos personales (“privacy by design”).
  • Protección de datos por defecto, es decir, obligación de que, por defecto, sólo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento (“privacy by default”).
  • Obligación de llevar a cabo previamente una evaluación de impacto previa cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas (privacy impact assessment- PIA).
  • La obligación de designar un Delegado de Protección de Datos (DPO) contenida en los arts. 37 a 39 RGPD para las empresas que realicen tratamiento de datos personales a gran escala en su actividad principal. El DPO asesora e informa al responsable y/o encargado de tratamientos y a los empleados, además de colaborar con las Agencias Nacionales de Protección desempeñando un papel crucial en la garantía del cumplimiento normativo. El Reglamento reconoce la relevancia del DPO y da a entender que las Empresas deben contar con un DPO incluso en aquellos supuestos en los que no es obligatorio.
  • La obligación de llevar un registro interno por escrito o formato electrónico de las actividades de tratamiento efectuadas (art. 30) que no se aplica para empresas con menos de 250 trabajadores.
  • Se establece la obligación de comunicar las Violaciones de Seguridad a las Autoridades Nacional de Control sin dilación indebida y, de ser posible, en un plazo de 72 horas después de haber tenido constancia de ellos, salvo que sea improbable que suponga un “riesgo para los derechos y libertades de los interesados”. Si la brecha de Seguridad entraña un alto riesgo para los derechos y libertades de los interesados, el Responsable está obligado, además, a comunicarla a éstos sin dilación indebida (arts. 33-34).
  • El RGPD también promociona la adhesión a Códigos de conducta y el sometimiento a mecanismos de certificación como el Sello Europeo de Protección de Datos (arts. 40 43).
las infracciones se siguen castigando con multas que pueden suponer hasta los 20 millones de euros o el 4% del volumen de la empresa

Con carácter general, el RGPD, pretende instaurar un modelo preventivo y de sensibilización de los datos personales en lugar de un modelo sancionador que reacciona cuando la infracción ya se ha cometido, aunque obviamente las infracciones se siguen castigando con multas que pueden suponer hasta los 20 millones de euros o el 4% del volumen de la empresa (arts. 83-84). Se trata de integrar el cumplimiento preventivo en la Empresa e interiorizarlo como algo consustancial al negocio.

La aportación más relevante del RGPD es la modernización de la protección de los datos personales definiendo sus principios generales y proporcionando una ley marco de referencia en toda la Unión para la implementación de sistemas de gestión inspirados en la cultura del cumplimiento normativo y la protección de los datos personales. El Comité Europeo de Protección de Datos y las Agencias Nacionales serán las encargadas de velar por la efectividad y coherencia del nuevo sistema.

 

Por Dña. Dolores Fuensanta Martínez
Doctora en Derecho
Prof. Asociada Universidad de Murcia
Ex Fiscal sustituta TSJ Murcia.
Colaboradora de Complianza, expertos en cumplimiento normativo

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *