Hasta la aprobación del Reglamento General de Protección de Datos (RGPD), siempre que se hablaba de la responsabilidad de las empresas en cuanto al cumplimiento de la LOPD y la LSSICE se hacía desde una perspectiva reactiva, es decir, las posibles sanciones en todo momento respondían a una vulneración de los derechos fundamentales de alguna persona que se sintiera perjudicada y así lo denunciara.
Sin embargo, el nuevo Reglamento, que será aplicable a partir de mayo del próximo año en el mes de mayo del próximo año, cambia sustancialmente este aspecto, ya que dicha responsabilidad reactiva ha sido sustituida por una responsabilidad proactiva.
Este principio de responsabilidad proactiva se traduce en la práctica en la obligación de las empresas de diseñar y poner en marcha un conjunto de medidas organizativas y técnicas que garanticen que el tratamiento de los datos personales se haga siempre de forma diligente y dando cumplimiento al RGPD.
En este sentido, las empresas deben:
– Identificar de forma exhaustiva todos los datos de carácter personal que se tratan como consecuencia del desarrollo de la actividad diaria.
– Qué uso se hace de estos datos personales.
– Qué tipos de tratamientos se realizan actualmente para cumplir con la normativa actual.
Teniendo en cuenta todo lo anterior, será el momento de diseñar y adoptar todas las medidas recogidas en el Reglamento. Además, una de las novedades que introduce el RGPD es que las compañías están obligadas a poder demostrar la implementación de estas medidas y el cumplimiento del Reglamento ante posibles interesados y ante la Administración, en el caso de que así se exija a través de las autoridades supervisoras.
Además, se ha instaurado la posibilidad de aplicar sanciones en el caso de empresas que no implementen las medidas adecuadas, incluso en aquellos casos en los que, por el momento, no se haya producido ningún perjuicio. Es precisamente este uno de los pilares fundamentales del mencionado principio de responsabilidad proactiva.
Así, antes del tratamiento de los datos se debe realizar una autoevaluación que contemple una serie de aspectos con el fin último de diseñar las medidas que más convengan.
Además, también es importante la incorporación del enfoque de riesgo. Esto supone que siempre deben valorarse los posibles riesgos en el tratamiento de los datos que puedan llegar a suponer un daño a los derechos de las personas en la materia. En los casos en los que el riesgo sea alto, se deben aplicar las medidas contempladas en el Reglamento, al menos aquellas que sean las adecuadas según las características organizativas de las que parta la empresa.
Por último, también es un cambio importante el hecho de que se pueda imputar responsabilidad penal a las personas jurídicas, en el caso de cometer delitos las personas con mayor responsabilidad en la compañía, o bien otras personas que no hayan sido suficientemente controladas en su actividad. En este punto, es importante aclarar que la elección de un Delegado de Protección de Datos (DPO) no exime de responsabilidad alguna a la empresa.
Con estas medidas, el ámbito del Derecho de las Nuevas Tecnologías cambia y las empresas van a necesitar nuevos servicios de consultoría en protección de datos para asegurar el cumplimiento del Reglamento.
