La pasada semana la Agencia Española de Protección de Datos (AEPD) publicó 3 guías para ayudar a las empresas españolas a adaptarse a las nuevas obligaciones derivadas del Reglamento Europeo de Protección de Datos, que empezará aplicarse en poco más de un año.

Éstas son algunas de las claves de esta nueva regulación:

  1. Enfoque basado en el riesgo. Algunas de las obligaciones del nuevo Reglamento son aplicables o modulables en función del nivel de riesgo existente para los derechos de los interesados. En ocasiones dicho nivel de riesgo vendrá dado por la propia norma, mientras que otras requerirá una valoración por parte del responsable del tratamiento a través de las llamadas Evaluaciones de Impacto (Privacy Impact Asessment).
  2. Prohibición de consentimientos tácitos. Ya no se admite el consentimiento tácito o por omisión, sino que cualquier forma de obtención del consentimiento tiene que estar basada en una acción positiva del interesado.
  3. Ampliación del deber de información. Se amplía el catálogo de cuestiones de las que debe informar el responsable del tratamiento a los interesados. Para facilitar el cumplimiento de este deber de información, la AEPD permite la utilización del método de información por capas (similar al utilizado actualmente para las cookies).
  4. Nuevos derechos de los interesados. Se prevén dos nuevos derecho, que no son autónomos, sino una manifestación de los derechos ARCO: (i) el derecho al olvido como una manifestación del derecho de cancelación u oposición en el entorno digital y (ii) el derecho a la portabilidad de los datos como una forma avanzada del derecho de acceso que permite transmitir los datos directamente de un responsable a otro.
  5. Principio de responsabilidad activa. Los responsables del tratamiento deben adoptar una actitud proactiva en la protección del derecho a la privacidad de los interesados, a través de medidas como el registro de actividades del tratamiento, los principios de Privacy by Design y Privacy by Default o la notificación de brechas de seguridad.
  6. La figura del DPO. Se prevé la existencia del Delegado de Protección de Datos en determinadas organizaciones (sector público, tratamiento de datos sensibles a gran escala…), como responsable de asesorar a la empresa y ayudarle a cumplir con sus obligaciones en esta materia (pudiendo ser encomendada esta función a un asesor externo).
  7. Incremento notable de las sanciones. El nuevo Reglamento prevé un régimen sancionador mucho más estricto que el recogido en la actual LOPD, pudiendo llegar las sanciones hasta los 10.000.000 € o 2% de la facturación mundial anual o, incluso, hasta los 20.000.000 € o 4% de la facturación mundial anual (dependiendo del tipo de infracción).

Aunque actualmente la AEPD está trabajando a contrarreloj para preparar el Anteproyecto de reforma de la LOPD (cuyo primer borrador se prevé que esté listo en el mes de marzo), las empresas deben tomar como norma de referencia el Reglamento Europeo y empezar a trabajar para adaptarse a las nuevas disposiciones.

Si desea conocer más a fondo estas nuevas obligaciones en materia de protección de datos y cómo afectan a su empresa, no dude en contactar con Lascasas Despacho de Abogados.