Este 25 de mayo de 2022 el Reglamento General de Protección de Datos (RGPD) cumple cuatro años. O, para ser más exactos, se cumple el cuarto aniversario desde que empezó a ser exigible.
A la espera de otras disposiciones normativas que van a venir a complementar y concretar algunos puntos del RGPD (seguimos a la espera de la aprobación definitiva y fecha de entrada en vigor del Reglamento de Privacidad Electrónica, conocido como Reglamento ePrivacy), lo cierto es que es la norma vigente que en Europa aplica en materia de privacidad.
Si bien hubo dos años de moratoria antes de que empezara a ser exigible, lo cierto es que fue a partir de mayo de 2018 cuando comenzó una carrera por parte de las empresas para ponerse al día. Carrera que, a pesar del tiempo transcurrido, aún no ha terminado en un número elevado de casos.
Proactividad
Y, no obstante, no hay que olvidar que la responsabilidad proactiva es un principio fundamental en la aplicación del RGPD, lo que supone que estamos obligados a llevar a cabo una adaptación y revisión continua de los procesos implementados en las organizaciones. Estamos ante un proceso, por tanto, que no termina nunca, que exige incorporar procesos de mejora continua.
El término “Accountability” tiene hoy día plena vigencia, puesto que las empresas y profesionales, como Responsables del Tratamiento, vienen obligados a acreditar que los procesos en el tratamiento de datos se adaptan a la normativa.
Sanciones
En materia de sanciones, tras un período de cierta calma en el que las autoridades de control dieron aire a las empresas para que se fueran adaptando de manera progresiva, lo cierto es que estas han ido en aumento, llevando a marcar sanciones máximas cada poco tiempo. La última de ellas, y primera en el ránking en lo que se refiere a sanciones en nuestro país, ha sido publicada hace apenas unos días, siendo Google el sancionado, en este caso con diez millones de euros por dos infracciones: cesión de datos a terceros sin consentimiento de los interesados, y por obstaculizar el derecho de supresión, el llamado en el ámbito digital “derecho al olvido”.
Anteriormente, otras empresas importantes fueron sancionadas con fuertes multas. Más allá del nombre de estas empresas, que tienen un impacto mediático alto por tratarse de grandes entidades conocidas por todos, lo verdaderamente relevante son los motivos que llevan a la Agencia Española de Protección de Datos a adoptar las resoluciones sancionadoras. Y decimos que es relevante porque se trata de cuestiones en las que todos, grandes empresas, pero también pequeñas, podemos incurrir, y de hecho se incurre y se sanciona, si bien no con la publicidad y, como decimos, el impacto que las grandes tienen.
La mayor parte de las sanciones vienen dadas por incumplimientos derivados del tratamiento de datos sin base de legitimación (sin recabar de manera adecuada, por ejemplo, el consentimiento de los interesados), o por falta de información, o información poco clara y transparente. Mención aparte merecen los envíos publicitarios sin recabar autorización, o bien sin facilitar los medios para darse de manera sencilla de baja por parte del interesado.
Expansión de los canales digitales
En lo que respecta a los canales digitales, al margen de contar con Políticas de Privacidad adecuadas en dichos canales, cobra especial relevancia en los últimos tiempos las reclamaciones crecientes a causa de políticas de cookies incorrectamente aplicadas. No olvidemos que, al margen de ampliar los supuestos de información que se debe prestar al usuario, se debe permitir a este aceptar de modo expreso la instalación de aquellas cookies no funcionales, algo que un número demasiado elevado de páginas web todavía no cumple, estando en riesgo alto de que a sus propietarios les pueda llegar un requerimiento.
Relaciones Responsable del Tratamiento – Encargados del Tratamiento
Igualmente estamos asistiendo, cada vez con más frecuencia, a mayores controles y exigencias por parte de aquellos responsables del Tratamiento que contratan servicios con proveedores que suponen un tratamiento de datos con un nivel elevado de riesgos. Ello ha llevado a que se lleven a cabo controles exhaustivos, auditorías a dichos proveedores, y peticiones de garantías adicionales, como las ISO de la familia 27001, de Seguridad de la Información, o la 27701, que asegura la correcta aplicación del RGPD. Se trata, como decimos, de garantías que cada vez más se solicitan para poder tener certeza de que los procesos en el tratamiento de datos por cuenta de terceros son los correctos, a fin de evitar problemas que, como ya hemos visto en determinadas resoluciones sancionadoras, terminan por implicar multas al propio Responsable.
En los últimos dos años, además, motivado en gran medida por el impacto de la pandemia del COVID-19, han aumentado de manera importante la importancia los comercios electrónicos, las apps, y todo tipo de canales del mundo digital que plantean poco a poco nuevos retos en materia de privacidad que es necesario estudiar, valorar los riesgos, y tomar las medidas necesarias para estar seguros de efectuar un tratamiento de datos correcto.
Delegado de protección de datos
Mención especial, también, a lo que fue, en el RGPD, la novedosa figura del Delegado de Protección de Datos (DPO), obligatoria para determinadas empresas y voluntaria para todas, que permite mejorar el cumplimiento y profundizar en la implementación de cultura de protección de datos en el seno de las empresas, al margen de ser el canal a través del cual poder atender denuncias o reclamaciones.
La figura del DPO, lejos de perder vigencia, cada vez es más valorada, ayudando no solo a cumplir con un imperativo legal, en los casos en los que así se requiera, sino a potenciar la imagen de marca de un gran número de empresas. De cara al futuro al DPO se le presenta un número cada vez mayor de posibilidades, y su necesidad parece que irá en aumento. De hecho, el anteproyecto de ley que regula la protección de las personas que informen sobre infracciones normativas y lucha contra la corrupción con el objeto de transponer la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, esto es, el conocido “canal de denuncias” en las empresas, contempla que dicho canal será obligatorio para organizaciones de más de 50 trabajadores, recogiendo además, si bien ha pasado por el momento bastante desapercibido salvo para los profesionales del sector, que dichas empresas con un número superior a los 50 trabajadores deberán contar también con un Delegado de Protección de Datos.
Fin de la moratoria para adaptar contratos anteriores al RGPD
Por último, y dado que se cumple, como hemos dicho, el cuarto aniversario desde la exigibilidad del RGPD, debemos recordar algo importante, puesto que este 25 de mayo de 2022 finaliza la moratoria de cuatro años para actualizar a la nueva normativa aquellos contratos con encargados del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo del artículo 12 de la antigua LOPD 15/1999, dado que se establecía que estos contratos mantendrían su vigencia hasta la fecha de vencimiento señalada en los mismos, y en caso de vencimiento indefinido, hasta el 25 de mayo de 2022.
Por tanto, si tenéis firmados con fecha anterior al 25 de mayo de 2018 contratos con aquellos proveedores cuyo servicio implica un acceso a datos por cuenta de terceros (Encargados del Tratamiento) debéis revisarlos y firmar nuevos contratos que sean acordes al RGPD.
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!