NOTA INFORMATIVA SOBRE LAS OBLIGACIONES EN MATERIA DE PROTECCIÓN DE DATOS Y SERVICIOS PROFESIONALES

El 25 de mayo de 2018 entró en vigor el nuevo Reglamento Europeo de protección de Datos; la versión revisada y actualizada que ha generado un marco unitario para el tratamiento de la protección de datos en todos los países de la Unión Europea, normativa que ha sido incorporada parcialmente a nuestro derecho interno a través de la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), que complementa ciertos aspectos del reglamento y aclara otros siendo necesario, por tanto, cumplir ambas normativas.

Esta nueva normativa en materia de protección de datos genera viene a establecer nuevas obligaciones que se suman a las ya existentes con la normativa anterior, haciendo más amplio el campo de los mecanismos, figuras, procedimientos y obligaciones en general que tanto empresas como personas físicas vienen obligadas a cumplir, acarreando su incumplimiento o falta de cumplimiento en las condicione específicamente exigidas –como es obvio– sanciones que pueden tener un efecto muy perjudicial en la continuidad de la actividad empresarial. Recurriendo al tópico: prevenir es curar, en nuestro caso, revisar el cumplimiento de la normativa, corregir las deficiencias, implantar los nuevos procesos o figuras creadas es una pata más del desarrollo del negocio y una eliminación de costosas sanciones.

Con la finalidad de tomar conciencia de la nueva regulación, destacamos algunas de las novedades principales para posteriormente sintetizar los servicios prestados por nuestro Despacho para auditar, implantar, corregir o externalizar las obligaciones impuestas.

La nueva LOPDGDD, en una de las novedades más importantes, hace referencia a la figura del Delegado de Protección de Datos (DPD) y a la cualificación que esta persona, física o jurídica, debe tener para cumplir sus funciones.

Se definen qué empresas están obligadas a tener un DPD, que puede ser interno o externo a la empresa, y que, básicamente, se encarga asesorar, supervisar que las cosas se hagan de forma correcta, informar o resolver dudas.

Se añaden los nuevos derechos de limitación del tratamiento, portabilidad y oposición.

Se incluye el principio de trasparencia.

Se establecen los códigos de conducta a los que se hacía referencia en el RGPD, y que deberán de ser aprobados por la AEPD.

Se regula un nuevo régimen de infracciones, sanciones y plazos de prescripción, que será aplicado por la Agencia Española de Protección de Datos.

Destacamos en este apartado que las sancionas a imponerse pueden ir desde 10 millones de Euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optando por la de mayor cuantía en caso de infracciones graves hasta sanciones de 20 millones de Euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Queda prohibido el envío de comunicaciones sin el consentimiento del interesado, salvo las excepciones que ya planteaba la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (que exista una relación contractual previa o que los productos o servicios que se publiciten sean similares a los contratados).

Las asociaciones u organismos sin ánimo de lucro (con una finalidad política, religiosa, filosófica o sindical) podrán llevar a cabo el tratamiento de datos personales sin consentimiento expreso de los interesados, siempre que se refiera a miembros actuales o antiguos (o a beneficiarios de sus ayudas).

Otra novedad de la LOPDGDD es el reconocimiento expreso de los derechos digitales, que trata de establecer un equilibrio adecuado entre la vida profesional y la personal de los trabajadores. En el ámbito empresarial, tiene especial interés el derecho a la desconexión digital. Establece que, fuera de su horario laboral, los trabajadores no están obligados a utilizar dispositivos electrónicos con motivos profesionales.

En el canal de denuncia se deberán admitir a trámite las denuncias anónimas (con la anterior normativa era necesario identificar al denunciante). Este canal de denuncias puede ser externalizado a una empresa especializada o a un despacho de abogados.

Otras obligaciones recogidas en la normativa anterior se mantienen en la misma línea que la anterior normativa, destacando el tratamiento de los datos de contacto de empresarios individuales y profesionales liberales, así como de quien actúe en nombre o representación de una persona jurídica, tratamiento no requerirá de consentimiento expreso.

Vistas las principales novedades nuestro despacho cuenta con personal experto en materia de protección de datos, ofertando un completo servicio de verificación, mejora, implantación, supervisión, auditoría anual y externalización tanto de la figura del DPD como del Canal de denuncias. Más concretamente:

1. En relación con la normativa, europea y nacional, en materia de protección de datos, nuestros servicios consisten en:

a. Revisión de la situación de la sociedad e identificación de Actividades de Tratamiento.

b. Determinación del nivel de seguridad.

c. Auditoria de Riesgos y determinación protocolos de prevención y mitigación de amenazas.

d. Confección de anexos a los contratos de trabajo, traten o no datos de carácter personal. Informándoles de sus obligaciones y derechos.

e. Confección de los contratos de prestación de servicios entre el responsable y el encargado del tratamiento.

f. Auditorías periódicas.

g. Formación del DPD interno o externalización del servicio de DPD, ofreciendo las funciones de Delegado de Protección de Datos de forma externa, profesional e independiente en cumplimiento de la normativa legal.

2. En relación con la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), nuestros servicios comprenden:

a. Aviso legal en la página web y correo electrónico para cumplir con el deber de información a los afectados.

b. Análisis y comprobación del cumplimiento de la Ley en la página web y correo electrónico.

c. Comprobación del cuestionario de Toma de Datos en la página e implantar medidas de seguridad según las características de dichos datos.

d. En el caso de páginas con comercio electrónico, implantación de medidas en cumplimiento a la normativa vigente

Asimismo, ofrecemos formación para los empleados de la empresa, incluyendo un Curso Monográfico Básico de Protección de Datos, curso que puede ser complementado con otros específicos que serán objeto de presupuesto adecuado.

Por último, también ofrecemos a nuestros clientes, dentro de esa oferta global, el de mantenimiento, incluyendo: Asesoramiento jurídico y técnico en Protección de Datos y Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, Actualización de los Documentos y Análisis de Riesgos y Asesoramiento de Tutela de Derechos (Acceso, Rectificación, Cancelación y Oposición).

Por último recordemos que una de las novedades más llamativas de la nueva normativa en materia de protección de datos, es que por primera vez se regulan de forma específica los tratamientos de datos efectuados en el marco de los sistemas de denuncias internas o mecanismos de “whistleblowing”, es decir aquellos canales de denuncia interna de las empresas por comportamientos, acciones o hechos que pueden constituir violaciones de: normas internas de la compañía, leyes, normativas o códigos éticos que rigen su actividad; destacando como novedad que se permiten las denuncias anónimas, si bien se tendrá que informar a empleados y terceros de la existencia de estos sistemas de información.

Dado que la nueva normativa interna permite que dichos canales de denuncia se gestionen interna o externamente, mediante una entidad de derecho privado con la que se contrate el servicio.

Nuestro despacho ofrece entre sus servicios la externalización del canal de denuncias, que permite que la gestión sea llevada exclusivamente por nuestros abogados expertos, de manera confidencial y en un entorno web seguro al que los empleados pueden acceder a un link en la portada de la web corporativa del cliente, en su intranet o en páginas privadas o protegidas para dirigir a los empleados, proveedores o clientes hacia su formulario de denuncia alojado en nuestro servidor.

Concluimos haciendo hincapié en la complejidad y extensión de las obligaciones, el severo régimen de sanciones, la posibilidad de externalizar determinadas figuras clave como el DPD o el Canal de Denuncia, y reiterando la experiencia de nuestros profesionales y la oferta global de servicios que ponemos a su disposición.