Reglamento General de Protección de Datos: impacto empresarial
Fenac, Ceim y Cepyme en el marco de consecución de sus objetivos, en concreto de la información a las empresas, organizó este martes 27 de febrero una jornada sobre el Reglamento Europeo de Protección de Datos en la sede de la CEOE para evaluar el impacto de esta nueva regulación de protección de datos en la actividad empresarial. En esta jornada han intervenido la Secretaría General del Ministerio de Justicia y la AGPD.
Sobre el RGPD resaltan estas cuestiones
1.- Delegado de Protección de Datos (DPD o DPO).
La importancia de que las empresas cuenten con esta nueva figura.
La actividad del Compliance Officer Penal y del DPD pueden ser desempeñadas por la misma figura. Si bien ambas figuras desempeñan sus cargos con independencia de la entidad jurídica en la que trabajan o a la que prestan sus servicios.
2.- Causas de licitud del tratamiento. Artículo 6 del RGPD.
Todas las causas se encuentras en un plano de igualdad, y entre ellas destacamos,
- Consentimiento
- Interés público. Aquí si es necesaria la legislación local.
- Interés legitimo del cesionario de los datos. Es necesario ponderar con los derechos de los usuarios.
¿Es la publicidad un interés legítimo y por ende una causa para el tratamiento sin el consentimiento del usuario?
3.- El principio proactividad o de diligencia.
Cambia el modelo de cumplimiento y el de supervisión. Nos encontramos ante un modelo abierto de cumplimiento, en el que a diferencia del establecido por la LOPD no se establecen de forma taxativa las condiciones de cumplimiento.
Como indicamos a nuestros clientes, ya no hay que sólo ser responsable sino que es necesario acreditar la diligencia en el cumplimiento.
4.- Sanciones.
Las sanciones económicas son muy superiores a las establecidas por la LOPD. Si bien existen condiciones para su modulación.
5.- Análisis de riesgo.
La evaluación de impacto o PIA. Es necesario realizar un análisis del riesgo en cuanto al cumplimiento y en cuanto a la seguridad del tratamiento de datos con la finalidad de evitar brechas de seguridad. No todas las empresas están obligadas a contar con un PIA documentado, pero si todas deben hacer su propio análisis de riesgo para determinar si es necesario contar con el PIA o no.
6.- Nueva LOPD.
En este momento se encuentra en trámite parlamentario el proyecto de ley de la nueva LOPD. En palabras de la administración a fecha de 27 de febrero, si no entra en vigor el 25 de mayo, si en lo más próximo a esa fecha.
Artículo 24 de esta nueva LOPD. Regula las bases legales para el tratamiento específico. En concreto en relación al sistema de Compliance penal dentro de la empresa. Esto es, el sistema de denuncias para atenuar o eximir la responsabilidad penal de las personas jurídicas. Este tratamiento de datos se regula en virtud del interés público y se establece un plazo de conservación de datos (en concreto, de denuncias) de 3 meses.
Recordamos que todas las empresas independientemente del tamaño deben adaptarse al nuevo RGPD. En caso de necesitar asesoramiento para adaptar su empresa al Reglamento de Protección de datos, puede contactar con el despacho bien a través de este formulario o a través del teléfono 911 155 087.