Introducción

El 25 de mayo de 2018 será de aplicación el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, como el “Reglamento General de Protección de Datos”).

Muchas entidades ya han comenzado a adaptarse a dicha norma, que incorpora cambios significativos en el tratamiento de datos de carácter personal.

Para ayudar a los lectores del presente a entender este nuevo marco normativo, a continuación, indicamos algunas de las cuestiones más relevantes que debería considerar.

¿Qué es el Reglamento General de Protección de Datos?

En primer lugar, mencionar que es una norma dictada por la Unión Europea, que es directamente aplicable en España tanto por el Estado como por las entidades.

El Reglamento General de Protección de Datos regula cómo se deben tratar los datos de carácter personal desde el momento en que se produce la recogida, hasta la destrucción de la información que nos permite identificar a personas físicas, denominadas interesados (por ejemplo, cuando una sociedad recibe de un nuevo socio –interesado- los datos de su DNI, para incorporarlos en el Libro Registro de Socios o se designa a un miembro del Órgano de Administración de la dicha sociedad; o, incluso, cuando una sociedad recibe un contrato firmado con los datos personales del que actúa como representante de la otra parte).

¿A quién es de aplicación el Reglamento General de Protección de Datos?

El Reglamento General de Protección de Datos aplica a toda entidad que:

  • esté constituida en un país de la Unión Europea o disponga de un establecimiento en la Unión Europea; u
  • ofrezca bienes o servicios a interesados (personas físicas identificables) en la Unión Europea; o
  • controle el comportamiento de interesados, en la medida que dicho comportamiento se produzca en la Unión Europea.

De ahí que, en muchas ocasiones, sociedades de nacionalidad no comunitaria deben cumplir con el Reglamento General de Protección de Datos, incluso cuando ofrecen servicios gratuitos a personas físicas en la Unión Europea.

¿Por qué debe plantearse cumplir el Reglamento General de Protección de Datos?

La respuesta a esta pregunta debe formularse de forma inversa. Los motivos fundamentalmente para no incumplir lo previsto en el Reglamento General de Protección de Datos son los siguientes:

  • El Reglamento General de Protección de Datos conlleva grandes cambios con respecto al marco legal anterior.
  • Las sanciones por incumplimiento son muy elevadas. La sanción máxima alcanza la mayor de entre: 000.000 € o, tratándose de una sociedad, una cuantía equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Según esto, las compañías que no alcancen una cifra de negocios de 500.000.000 € su sanción máxima alcanzará la primera cifra indicada, mientras que las que sobrepasen dicho importe, deberán pagar un máximo del 4% de su facturación en el año precedente.
  • Las compañías aseguradoras que cubren el riesgo por esta materia van a requerir demostración del cumplimiento de estas normas, como requisito para conceder la cobertura.
  • El incumplimiento puede ser difundido en prensa, pudiendo afectar negativamente a la reputación de la empresa.
  • La adaptación al Reglamento General de Protección de Datos está siendo llevada a cabo por muchas compañías como una mejora de su imagen corporativa enfocada a los intereses de sus clientes. De esta forma, si unos competidores lo afrontan de esta manera y otros no, los clientes pueden decantarse por la que mejor haya hecho sus deberes para proteger sus derechos, por lo que la no adaptación puede afectar a las ventas.
  • Los colaboradores, clientes y proveedores de las entidades van a exigirles la acreditación del cumplimiento de esta norma, ya que existe un deber de diligencia que les obliga a hacerlo. No aportar prueba de ello, puede excluir a las entidades de ciertos negocios.

¿Pasos a seguir para cumplir con el Reglamento General de Protección de Datos?

Lo recomendable es acometer un proyecto de regularización, en el que se revisen los contratos, políticas de privacidad y procedimientos.

Además, deberán documentarse todos los análisis legales realizados (por ejemplo, respecto a los tratamientos de datos, a las evaluaciones de impacto en materia de protección de datos realizadas, etc.) y facilitar formación a sus empleados actualizada para permitirles que cumplan con la normativa.