07.06.2018
Sanciones RGPD: ¿20 millones de euros o el 4 % de la facturación global anual del ejercicio anterior?
¿Qué modificaciones ha establecido el RGPD? ¿Debo designar un DPD y un Registro del Tratamiento? ¿Qué infracciones de este reglamento justifican la aplicación de sanciones? ¿En cuánto se han incrementado las sanciones respecto a la regulación anterior? ¿Cuál es la cuantía máxima de estas sanciones actualmente?
Hablamos de las sanciones previstas en el Reglamento General de Protección de Datos de la UE (RGPD).
Ha llegado el día que todas las empresas temían: el RGPD ha entrado en vigor y las sanciones por incumplimiento son millonarias.
Contacto No te quedes con la duda, contacta con nosotros. Estaremos encantados de atenderte y ofrecerte soluciones.El 25 de mayo de 2018, un antes y un después
El fatídica día era el 25 de mayo de 2018. El día que entraba en vigor el RGPD. Este acontecimiento es el mayor hito regulatorio en esta materia de los últimos 20 años.
Anteriormente en España se aplicaba la LOPD[1] (del 99) que también establecía sanciones muy severas. Estas, podían alcanzar hasta los 600.000 €. Aunque si comparamos ambas normativas, el RGPD ha incrementado considerablemente los castigos por incumplimiento.
Además de lo anteriormente indicado, esta nueva legislación supone un cambio de paradigma radical que seguidamente tratamos de resumir.
Modificaciones del RGPD respecto a la LOPD
A partir del 25 del mayo han desaparecido las obligaciones formales que imponía la LOPD. Estas han sido sustituidas por obligaciones de cumplimiento efectivo y real que, además, tienen que ser demostrables.
Algunas de estas modificaciones son:
1.-Ya no es necesario inscribir los ficheros de datos en la Agencia Española de Protección de Datos (AEPD).
2.-Tampoco es necesario redactar un documento de seguridad.
3.-Hay un cambio sustancial en la información a facilitar a las personas cuyos datos se recaban. Ahora es necesario informar al usuario de cuestiones como:
- Finalidad en la utilización de sus datos;
- Forma de reclamaciones frente a la compañía
- Plazo durante el cual se van a conservar los datos recabados;
- Si los datos van a estar alojados fuera de la Unión Europea;
- Si se van a enviar comunicaciones comerciales (entre otros).
Dicha información además debe constar de manera clara, sencilla y completa.
5.-Debe obtenerse el consentimiento expreso de la persona cuyos datos se recaban para los fines específicos con el que serán tratados.
En caso de tratamiento de tales datos no relacionados directamente con el servicio que presta la compañía, se requerirá un consentimiento específico.
6.-Con el nuevo RGPD es necesario tener un Registro de Tratamientos. Un catálogo de todos los tratamientos que realiza la compañía con un análisis de riesgos asociados a cada uno. Para realizar este listado hace falta una evaluación de impacto de privacidad.
7.-Las compañías que traten masivamente datos a gran escala deberán designar un Delegado de Protección de Datos. Este, será en encargado de velar por el cumplimiento normativo en la materia dentro de la compañía.
Sanciones RGPD
Como ya se ha señalado anteriormente, las sanciones con el nuevo RGPD son millonarias.
Éstas pueden llegar hasta los 20 millones de euros o el 4% del volumen de negocio global anual del ejercicio financiero anterior de la compañía infractora.
Se optará por la multa de mayor cuantía en caso de vulneraciones de los principios básicos de tratamiento, a título de ejemplo:
- En materia de consentimiento,
- Vulneración de los derechos de los interesados,
- Transferencias de datos personales a un destinatario en un tercer país,
- Incumplimiento de una resolución o una limitación temporal o definitiva del tratamiento,
- Suspensión de los flujos de datos por parte de la autoridad de control.
Conclusión
La entrada en vigor de este RGPD tiene un elevado impacto en todas las sociedades españolas.
Por un lado porque las sanciones RGPD son muy elevadas. Y por otro porque comportan una serie de actuaciones internas que generalmente suponen un coste (económico y temporal) de implementación.
No obstante, no hay que actuar arrastrado por la histeria colectiva desatada en las últimas semanas. Por ejemplo, ha habido empresas que por lanzarse a la captura de consentimientos expresos que no eran necesarios de inicio; han perdido bases de datos enteras con el consiguiente efecto negativo para el negocio que esto supone.
Es conveniente consultar a profesionales y tomar decisiones informadas y fundamentadas.
Evaluación de Impacto sobre la Protección de Datos, ¿cuándo estoy obligado?
[1] Ley Orgánica de Protección de Datos