Las pymes ante el nuevo reglamento de protección de datos

El 25 de mayo de 2018 se cumple el periodo transitorio de dos años que el Reglamento General sobre Protección de Datos (2016/679 UE) otorgó a los Estados Miembros (EEMM) para adaptar las legislaciones nacionales a la nueva norma europea. A partir de ese momento, el Reglamento, que es norma directamente aplicable, podrá ser invocado por cualquier ciudadano de la Unión Europea (UE) aunque los EEMM no hayan acometido su adaptación a nivel nacional; no obstante, para su plena aplicación todavía será necesario ajustes importantes en determinados aspectos que la norma ha delegado a los órganos legislativos nacionales, como, proponer un ejemplo, en materia de sanciones, cuya concreción se ha dejado en manos del legislador nacional.

El Reglamento General de Protección sobre Datos tiene por misión encontrar un equilibrio entre el libre flujo de datos en todo el Mercado Único Digital y una mejor protección de los datos de las personas. La protección de datos está reconocido como un Derecho Fundamental tanto en nuestra Constitución como en la Carta de Derechos Fundamentales de la UE.

Los principales elementos de la nuevas norma de protección de datos son los siguientes:

1. Un conjunto único de normas en todo el continente, que garantiza la seguridad jurídica de las empresas y el mismo nivel de protección de datos en toda la UE para los ciudadanos.

2. Se aplican las mismas normas a todas las empresas que prestan servicios en la UE, aun si tienen su sede en países terceros.

3. Nuevos y más sólidos derechos para los ciudadanos: se refuerzan el derecho a la información, al acceso a los datos personales y al olvido. Un nuevo derecho a la portabilidad de los datos permite a los ciudadanos transferir sus datos de una empresa a otra.

4. Mayores exigencias en caso de violaciones de datos:una empresa que sufra una violación de datos que ponga a particulares en situación de riesgo debe notificarlo a la autoridad de protección de datos y a los particulares afectados en un plazo de 72 horas.

5. Normas severas y multas disuasorias: todas las autoridades de protección de datos tendrán la facultad de imponer multas de hasta 20 millones de euros o, en el caso de una empresa, el 4 % de su volumen de negocios anual mundial.

El nuevo Reglamento supone un cambio en el paradigma de la gestión de la protección de datos. Con la introducción de los principios de Responsabilidad (accountability) y de Privacidad "desde el Diseño y por Defecto", se deja atrás un sistema muy formalista en el que las empresas se limitaban a cumplir obligaciones burocráticas y a aplicar las medidas de seguridad que indicaba la ley en cada caso; y se da entrada a un nuevo sistema en el que rige la pro actividad, en el que el responsable del dato debe valorar los riesgos que entraña el tratamiento de datos teniendo en cuenta la naturaleza de los datos que se tratan, el contexto en el que se realiza el tratamiento, su ámbito y propósito; y en su virtud deberá decidir qué medidas de seguridad tiene que adoptar en cada caso.

-

Enrique Fontes. Zertium, Legal & Management