CÓMO SE ADAPTA LA PYME AL RGPD

El ya inminente 25 de mayo será de plena aplicación el nuevo Reglamento General de Protección de Datos (RGPD), al que popularmente se le ha venido denominando como  el nuevo Reglamento Europeo, que ya entró en vigor en mayo de 2016.

El RGPD es una norma directamente aplicable a los responsables que deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales, aunque la nueva ley que sustituirá a nuestra actual LOPD sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.

Las empresas que en la actualidad ya cumplen con la LOPD tienen una buena base de partida para adecuarse correctamente al RGPD, aunque éste modifica algunos aspectos del régimen actual y contiene nuevas obligaciones, así que con lo que tienen ahora, y cómo lo tienen, no es suficiente.

Y para las que no, ahora es el momento!

A diferencia de nuestra actual LOPD y su Reglamento de Desarrollo, el RGPD se enfoca más hacia el “tratamiento de la información” que a “ficheros de datos” (desaparece la obligación de la inscripción de éstos en el Registro General de la Agencia Española de Protección de Datos).

La mayor innovación para los responsables, son dos elementos de carácter general, que se proyectan sobre todas las obligaciones de las empresas:

    • El principio de Responsabilidad Proactiva
    • El enfoque del riesgo

El principio de Responsabilidad Proactiva se describe como “la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al Reglamento”.

Se debe analizar:

    • Qué datos trata
    • Con qué finalidades lo hace
    • Qué tipo de operaciones de tratamiento lleva a cabo

y determinar explícitamente la forma en que aplicará las medidas previstas en el RGPD y asegurándose de que éstas sean las adecuadas (…y que puedan demostrarlo). Se exige una actitud consciente, diligente y proactiva de las empresas en todos los tratamientos de datos personales que lleven a cabo.

Y sobre el enfoque del riesgo, las medidas dirigidas a garantizar el cumplimiento del RGPD deben tener en cuenta la naturaleza, el ámbito, el contexto y las finalidades del tratamiento, así como el riesgo para los derechos y libertades de las personas. Así, algunas de las medidas que establece el RGPD se aplicarán sólo cuando haya un alto riesgo para los derechos y libertades. Y otras, en función del nivel y tipo de riesgo que los tratamientos presenten.

Hasta ahora, la directiva 95/46 y las leyes nacionales de transposición se centran en la actividad de los responsables. La responsabilidad última sobre el tratamiento sigue siendo del responsable, que es quien determina la existencia del tratamiento y su finalidad.

En cambio, el RGPD contiene las obligaciones expresamente dirigidas a los encargados, ya que éstos, en determinadas materias, tienen obligaciones propias (contrato aparte) como las de mantener un registro de actividades de tratamiento, determinar las medidas de seguridad a aplicar en el tratamiento y, según los casos, designar un Delegado de Protección de Datos.

Los encargados pueden adherirse a códigos de conducta, o certificarse.

Antes de modificar protocolos, y bajo el enfoque del RGPD, los responsables deben auditar el estado del tratamiento de datos que llevan a cabo, tanto a nivel jurídico como informático.

Deberán también llevar a cabo un análisis de riesgos, que no deberá ser “una foto puntual” sino que debe formar parte de la cotidianeidad de la empresa, para conocer en todo momento las vulnerabilidades informáticas y las brechas de seguridad. A destacar que el RGPD desplaza a las empresas responsabilidad de identificar las medidas de seguridad que deberán aplicar en el tratamiento de datos que efectúen (hasta ahora nos venían facilitadas por la normativa LOPD y su Reglamento de Desarrollo).

Algo que raramente aplicará a una PYME es el tener que efectuar una evaluación de impacto de los efectos que tienen sobre la protección de datos los tratamientos que efectúan. Pero esto no es descartable si la PYME:

    • Hace una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado.
    • Realiza un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
    • O lleva a cabo una observación sistemática a gran escala de una zona de acceso público.

Del mismo modo, y generalmente, una PYME no estará obligada a tener un Delegado de Protección de Datos (DPD o DPO) salvo que lleve a cabo una observación habitual y sistemática de interesados, o que trate a gran escala, categorías especiales de datos.

Desde nuestro Departamento de Derecho Digital podrán ampliarles información, asesorarles en la implementación del RGPD, presentarles una propuesta económica y de servicios para hacerle, de modo práctico y sencillo, la adecuación de su empresa al RGPD.

Le esperemos en

c/ Sant Domènec, 39-41

08911 Badalona – consultor@lladogrup.com

https://www.lladogrup.com/es/area-de-derecho-digital/