Aprovechando la celebración del Día de la Protección de Datos en Europa, desde CTAIMA hemos querido contribuir a la efemérides con la creación de un dossier que repase el momento actual de cambios al que las empresas deberán adaptarse con la entrada en vigor del nuevo reglamento protección datos, el pasado mes de mayo de 2016. La Ley de Protección de Datos y el nuevo Reglamento que la modifica es una parte fundamental del cumplimiento que como aplica al departamento de Prevención de Riesgos Laborales en cuanto que genera y gestiona numerosa documentación de trabajadores, internos y subcontratados. ¿Estás adaptado al nuevo reglamento?
Todas las empresas gestionan datos de carácter personal, currículums, dnis, información médica, direcciones,… y por tanto, todas las empresas están obligadas por ley a realizar una correcta gestión de esa información que, hasta ahora, estaba clasificada en tres tipos en función de la categorización marcada por la actual normativa española. Eso implicaba que el total de empresas no sólo deban realizar una declaración de ficheros del tipo de documentación de su personal que tratan ante la Agencia de Protección de Datos, sino que deben contar con el Documento de Protección, según el cual se especifican los protocolos de actuación delante de la LOPD: quienes son los responsables de este tema, qué tipos de ficheros se tendrán, número de copias de seguridad de la información,…
Aunque las empresas tendrán hasta mayo de 2018 para concluir esta adaptación, la preocupación por las implicaciones legales y sanciones que un incumplimiento pudiera tener y por el cambio en las responsabilidades como consecuencia del cambio en el código penal que permite procesar a las personas físicas en el caso de responsabilidades demostradas de empresas, está haciendo que cada vez sean más las empresas se interesen por afianzar sus departamentos legales con consultorías adhoc.
Pero, ¿Cuáles son las novedades del nuevo Reglamento?
- Unifica la normativa europea y amplia el ámbito territorial, con lo que el tratamiento de protección de datos será de igual cumplimiento sea cual sea el centro de trabajo de la empresa si éste se ubica en el entorno UE.
- Amplia el concepto de “Dato Personal” ya que incluirá los números de identificación en línea o de localización.
- Requiere un consentimiento libre, específico, informado, inequívoco y demostrable. Es decir, el responsable del tratamiento de los datos deberá probar que el interesado prestó el consentimiento en su cesión de datos. Además, el vocabulario empleado en las cláusulas de conformidad ha de ser entendible y concreto según la situación, nunca genérico.
- Pretende instaurar la protección de datos como cultura y no obligación
- Promueve la privacidad por defecto y la privacidad desde el diseño, unos conceptos que quieren dar respuesta a las nuevas formas de tratamiento de datos existentes como consecuencia de vivir en una sociedad digitalizada, y por añadido, a los peligros u oportunidades que ésta representa. Para ello se busca la implantación y revisión de garantías previas al propio almacenamiento de los datos.
- Amplia los derechos para los interesados: Olvido, limitación y portabilidad
- Crea una ventanilla única para que exista un único interlocutor ante quienes tratan los datos, bien aunque estos datos procedan de personas de diversos estados miembros de la UE, bien aunque el tratamiento de la información de una persona se dé desde centros de trabajo ubicados en diferentes estados.
- Instaura nuevas figuras: Delegado de Protección de Datos
- Nuevo enfoque en la seguridad: Será imprescindible la realización de evaluaciones de impacto de los procesos de tratamiento de datos personales y la realización de consultas previas a la autoridad de control en supuestos detallados en el nuevo reglamento.
- Se elimina el registro de ficheros en la AEPD pero será obligatorio informar de las brechas de seguridad
¿Qué pasos deberá seguir la empresa?
- Crear un registro de actividades de tratamiento y documentarlo
- Revisar el cumplimiento de los nuevos requisitos del consentimiento, si se precisan
- Adaptar las cláusulas informativas al nuevo reglamento
- Designar un Delegado de Protección de Datos
- Revisar y rehacer los contratos con los encargados de tratamiento
- Revisar mecanismos para realizar transferencias internacionales
- Realizar una evaluación de riesgos e impacto
- Implantar nuevas medidas seguridad
- Establecer protocolo para notificar violaciones
- Poder demostrar que el tratamiento de datos se realiza conformidad con el Reglamento
¿Subcontratas? ¿Cómo afecta a la coordinación de actividades empresariales?
El reglamento de protección de datos es de aplicación para todo tratamiento de datos personales, tanto si éste es parcial o totalmente automatizado como si el procedimiento es manual y el dato está destinado a formar parte de un fichero. El Reglamento se aplicará como hasta ahora al personal responsable de tratamiento de datos que estén establecidos en la Unión Europea, y se ve ampliado a aquellos encargados que no trabajen en la UE cuando traten información personal derivada de una oferta de bienes o servicios que sí esté destinada a ciudadanos residentes en la Unión.
Por lo tanto, el tratamiento de la información personal o protegida de los trabajadores que se deriva de la correcta realización de la Coordinación de Actividades Empresariales y el Real Decreto 171/2004 ha de cumplir con la nueva normativa de protección de datos. En el caso de la coordinación empresarial, CTAIMA y todas sus soluciones cumplen con la actual LOPD y ya está preparada para actualizar sus procesos para el nuevo reglamento europeo, en tanto que cumple un importante papel de encargado del tratamiento de datos. Sin embargo, cabe recordar que el responsable último del fichero es la empresa titular y que, por tanto, es ella quien debe proceder al correcto tratamiento y gestión de la información entregada por sus trabajadores.
La plataforma CTAIMACAE.net da cumplimiento a la normativa vigente a nivel europeo y estatal gracias al carácter cifrado de los documentos, a disponer de un único canal de comunicación así como por mantener una alta seguridad y protocolos de confidencialidad. Desde CTAIMA Outsourcing & Consulting, se ofrece además el servicio de asesoría legal para que la empresa tenga la garantía absoluta de cumplimiento de una de las ramas más importantes a las que deberá hacer frente su departamento jurídico: la protección de datos.
¿Por qué adaptar tu empresa al nuevo reglamento protección datos?
Razones:
– Porque es obligatorio por Ley
– Para evitar sanciones y sus graves consecuencias
– Porque los clientes, trabajadores y proveedores son conscientes de sus derechos, y los ejercen contra las empresas.
– Para no tratar los datos inadecuadamente.
La parte de cumplimiento legal de la normativa de protección de datos es una de las más importantes, aunque no la única, de los departamentos de Legal Compliance que ya se están implementando, cada vez más, en múltiples empresas. Para aquellas en las que todavía no existe este departamento, existen en el mercado soluciones pensadas para garantizar que todos los centros de trabajo están al día del cumplimiento normativo que les aplica por regulaciones que vienen desde Europa, España, su comunidad autónoma e incluso, su gobierno local.
Desde CTAIMA, ofrecemos apoyo a las empresas para garantizar su cumplimiento legal mediante servicios de auditoría inicial para ver el punto de partida, apoyo ante el registro de los datos tratados, elaboración del documento de protección, atención a consultas por un departamento de consultores, notificación y adecuación de las comunicaciones de la empresa ante la solicitud formal de la cesión de información.
¿Qué sanciones introduce el nuevo reglamento protección datos ante un incumplimiento?
- El nuevo reglamento establece que las sanciones deberán ser efectivas, proporcionadas y disuasorias
- La cuantía económica de la sanción será modulada en función de las circunstancias de cada caso
- Las sanciones serán aplicables a los responsables o encargados de dar cumplimiento al reglamento de protección de datos, es decir, la persona física será imputada en el procedimiento judicial.
- El reglamento marca dos tipos de multa, una de hasta 10 millones de euros o el 2% de volumen de negocio anual a nivel mundial optándose por la de mayor cuantía; y otra de hasta 20 millones de euros o el 4% de volumen de negocio anual a nivel mundial, optándose por la de mayor cuantía.
Conclusión nuevo reglamento protección datos
Como conclusión a lo visto anteriormente, el nuevo reglamento de protección de datos ¬-igual que ya ocurría con la LOPD-, es de obligado cumplimiento para todas las personas físicas o jurídicas que posean datos de carácter personal de terceros. Este hecho, desmonta la falsa creencia de que sólo las empresas que desarrollan actividades relacionadas con las nuevas tecnologías están obligadas a cumplir con las obligaciones que impone la Ley de Protección de Datos. Como se ha visto en el apartado anterior, las sanciones son muy elevadas y después de la modificación del Código penal puede afectar no sólo a la empresa, sino que se imputa a las personas o mandos intermedios responsables del tratamiento de los datos. El responsable último del correcto tratamiento de la información es la empresa titular, aunque ésta haya contratado los servicios de otras empresas para la gestión, pongamos administrativa, de esos datos, por lo que resulta imprescindible asegurarse del correcto desarrollo y cumplimiento legislativo.
Desce CTAIMA, ofrecemos un servicio integral y profesional, con un departamento especializado para que tu empresa se ajuste al nuevo reglamento europeo de protección de datos. CTAIMA destaca actualmente por su amplia oferta en servicios para la mejora de las diversas áreas de negocio vinculadas al Legal Compliance. Ofrecemos un asesoramiento seguro, fiable y experto, enfocado a cada sector de actividad y con el respaldo y garantía de CTAIMA, presente en el mercado desde hace más de 10 años, con profesionales dedicados a ofrecer soluciones integrales en el ámbito del Legal compliance dentro del nuevo entorno digital.