Blogosfera Navas & Cusí

Nuestro bufete de abogados Navas & Cusí con sedes en Madrid y Barcelona posee carácter multidisciplinar y con una vocación internacional (sede en Bruselas), está especializado en derecho bancario , financiero y mercantil.
Contacta con nosotros
Para garantizar la calidad y la atención personalizada, atendemos con cita previa presencial o videoconferencia. No trabajamos a resultados.

Implementación nuevo Reglamento General Europeo Protección Datos

El Reglamento General Europeo de Protección de Datos, Reglamento 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, ya ha entrado en vigor pese a que no será plenamente aplicable hasta 25 de mayo del 2018, pero más allá de que esa plena eficacia quede demorada, lo bien cierto es que hay ya preceptos que son de aplicación y que esa moratoria se debe a la complejidad que lleva dicha implementación, por los que las personas físicas y jurídicas públicas y privadas deben de comenzar ya su aplicación, y deben de hacerlo pensando en la existencia de un Delegado de Protección de Datos (DPD) y en el cambio de sistema de accountability que impone el citado Reglamento, especialmente cuando sea de aplicación su régimen sancionador, ya que las multas por infracción a las previsiones legales de este nuevo Reglamento General Europeo en  materia de protección de datos pueden llegar a los diez millones de euros por el mero hecho de no cumplir los requisitos legales básicos y a veinte millones de euros para infracciones al nuevo marco de protección del derecho de protección de carácter personal (artículo 83); todo ello al margen de la responsabilidad civil pertinente que se superpondría a esta sanción administrativa.

Como aspectos que, en mi opinión, ya resultan de aplicación, encontramos el llamado Derecho al olvido (que ya había sido reconocido por el TJUE en el caso Mario Costeja vs. Google), o el derecho de portabilidad, o el de control de los datos personales frente al big data o el nuevo modo de obtener el consentimiento válido en materia de protección de datos y que impide su obtención de forma presunta…

Entre las instituciones que aún no son obligatorias, pero que lo serán a partir de mayo de 2015, especialmente en el ámbito de empresas púbicas y privadas, está la figura del Delegado de protección de datos (DPD) o Data Protection Officer, que será obligatorio tres supuestos:

En primer lugar, cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial. Por tanto, el impacto de este Reglamento en el sector público es enorme, ya que va obligar a todo el sector público a tener un DPD y el mero hecho de no tenerlo asignado puede suponer una multa de hasta diez millones de euros.

En segundo lugar, ya en el sector privado, cuando las operaciones de tratamiento de datos personales, por razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de la protección de datos a gran escala.

Y en tercer lugar, también en el sector privado, cuando se produzcan actividades que consistan en el tratamiento a gran escala de categorías especiales de datos personales especialmente protegidos (como p.e. datos de salud o que revelen ideología) así como los datos relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPG.

Por tanto, para el sector público el impacto será mucho mayor, ya que necesariamente tiene que tener un DPD, si bien cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño. Igualmente, en el sector privado, un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento.

El delegado de protección de datos DPD, tanto en el sector público como en el sector privado será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho (en lo que refiere tanto a las nuevas tecnologías en general como a la protección de datos en particular).

Y, por supuesto, tanto en el sector público como en el privado, el delegado de protección de datos podrá formar parte de la plantilla del responsable del tratamiento o bien desempeñar su función de forma externa a la organización del responsable del tratamiento en el marco de un contrato de servicios (como los que puede ofrecer un despacho de abogados o una consultaría, mediante contratos de outsourcing, minuta…).

Por tanto, conviene en este año 2017 tener claro si el DPD estará integrado o formará parte de la empresa o de la Administración pública o si será un profesional jurídico-técnico externo, sabiendo que en todo caso va a tener una enorme responsabilidad, como prevenir y evitar las conductas que pueden terminar con una sanción administrativa tan desproporcionada. En ese sentido, el delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Dichas previsiones son especialmente necesarias en la Administración y el sector público, ya que hay que tenerlo previsto en el presupuesto del 2018 y se debe de contratar conforme a la normativa de contratación del sector público.

Además, la AEPD ya ha comenzado a publicar diversas guías, como la relativa al nuevo modo en que se tiene que obtener el consentimiento, o las relaciones entre encargado y responsable del tratamiento o la implementación en PYMES, que dan cuenta de lo importante y conveniente que es comenzar ya a implementar el nuevo Reglamento General Europeo de Protección de Datos.

En definitiva, una de las consecuencias más importantes del Reglamento General de Protección de Datos de la Unión Europea es la obligatoriedad en el sector público y la cuasi obligatoriedad en el sector privada (bien porque se tratan un elevado volumen de datos o bien porque se tratan datos sensibles) en tener un DPO que supervise, coordine, gestione y lleve la implantación continua y las auditorías internas en materia de protección de datos, con el fin de prevenir y evitar conductas o praxis que pueden desembocar en grandes multas administrativa (de 10 o 20 millones de euros)  para las entidades.

Navas & Cusí Abogados

Author
Navas & Cusí Abogados
Artículo anterior Artículo siguiente