Fruto del rápido avance de las nuevas tecnologías, internet, redes sociales, etc., que ha dado lugar a indudables avances a la hora ‘acortar’ distancias en un mundo cada vez más globalizado o mecanizar procesos que antes eran inimaginables, también ha traído consigo importantes riesgos en algunas áreas como son la privacidad y la protección de datos personales.
El 7 de diciembre de 2018 entró en vigor la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante “LOPDGDD”) que desarrolla algunos preceptos del Reglamento (UE) 2016/679 de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que entró en vigor el 25 de mayo de 2018. El Reglamento Europeo de protección de datos 2016/679, que deroga la Directiva 95/46/CE (Reglamento general de protección de datos), ha querido regular este espacio poniendo límites y levantando barreras que protejan la ingente cantidad de datos personales que se procesan diariamente.
Los principales cambios que ha introducido esta nueva Ley, han ido dirigidos a elevar el nivel de prevención de riesgos, analizando previamente los posibles daños que pueda generar un determinado proyecto o servicio, aumentar la transparencia en la gestión de los datos, identificando al responsable del tratamiento, así como el fin concreto o fundamento jurídico para tratar dichos datos y una mayor proactividad por parte del usuario cuya información personal se pretende proteger.
En primer lugar, es necesario hacer una Evaluación de Impacto sobre la Protección de los Datos que se pretenden proteger (EIPD) y posteriormente realizar un proceso de verificación consistente en: la identificación de la base jurídica de los tratamientos, la información que se proporciona a los interesados, el establecimiento de un registro de actividades de tratamiento, posibilitar el ejercicio de los derechos de los interesados, las medidas de seguridad necesarias y la formalización de las relaciones con los encargados del tratamiento.
Ahora se exige el consentimiento expreso del usuario a la hora de tratar sus datos y se le debe facilitar el ejercicio de los famosos derechos ARCO (acceso, rectificación, cancelación u oposición), así como el derecho a la portabilidad, pudiendo solicitar a la empresa sus datos personales para trasladarlos a otra empresa y el derecho al olvido, pudiendo solicitar la supresión de sus datos personales cuando se haya alcanzado el fin para el que fueron solicitados.
Al responsable y encargado del tratamiento de los datos personales por otra parte, se le exige estar suficientemente preparado ante una posible fuga de datos. Inicialmente puede parecer improbable, pero basta con indicar una dirección de correo electrónico errónea, en el envío de un archivo con datos sensibles, o dejar abierto el acceso a una carpeta que contenga información confidencial, como pueden ser los Currículum Vitae en un proceso de selección. También debe protegerse de los posibles ataques informáticos, que se producen en muchos casos a través de la apertura de correos electrónicos que contienen un virus letal. Cuando se producen estos incidentes, el responsable tiene la obligación de informar de lo sucedido a las autoridades competentes y a los usuarios afectados en un plazo de 72 horas.
No debemos olvidar las implicaciones en materia laboral de esta Ley y concretamente los artículos del 79 al 97 que regulan como principales derechos de los trabajadores en materia digital, el Derecho a la intimidad y el uso de dispositivos digitales en el ámbito laboral, el Derecho a la desconexión digital en el ámbito laboral, los Derechos digitales en la negociación colectiva y el uso de los dispositivos de videovigilancia y de grabación en el lugar de trabajo y geolocalización en el ámbito laboral previa comunicación expresa a los trabajadores. Deben garantizarse los derechos digitales de todos y cada uno de los usuarios, por lo que el encargado del tratamiento de los datos debe estar informado también en este ámbito.
El incumplimiento de la nueva normativa puede dar lugar a multas de hasta 20 millones de euros por lo que para evitar riesgos innecesarios y aumentar la confianza de los clientes cuyos datos se deben salvaguardar, se recomienda que las empresas cuenten con un asesor de confianza.
Si necesitas asesoría como empresa o particular en este tema, puedes solicitar una consulta personalizada en Juristas Europeos BF&A, despacho de abogados en Pozuelo de Alarcón, y resolveremos todas tus dudas.