No queremos ser alarmistas, pero en menos de mes se producirá de forma inexorable la aplicación del nuevo Reglamento Europeo de Protección de Datos y se exigirá su cumplimiento. Y si bien hemos dicho de no ser alarmista, si queremos alertar que el régimen de sanciones será a partir de entonces mucho más dramático para aquéllos que no cumplan con las exigencias de la nueva normativa de protección de datos, pudiendo llegar a alcanzar cifras -en lo que las faltas más graves se refiere- de hasta 20.000.000 euros o, en el caso de empresas, la equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior.
Después de la alarma, una buena noticia: la sede electrónica de la Agencia Española de Protección de Datos (AEPD) ha habilitado un proceso de comunicación telemática para comunicar el Delegado de Protección de Datos (DPD o DPO en sus siglas en inglés) designado, en coherencia con la previsión del aún Proyecto de Ley Orgánica de Protección de Datos.
Recordemos que el Reglamento establece que los responsables o encargados del tratamiento deben publicar los datos de contacto de los delegados y comunicar su designación a la autoridad de control (en nuestro caso, la AEPD) antes del próximo 25 de mayo.
Y recordemos también que si bien todas las empresas pueden voluntariamente nombrar (y comunicar) un DPD, no todas tienen obligación de hacerlo, sino sólo aquéllas que se encuentren en uno de los tres siguientes supuestos:
(i) En los casos en los que el tratamiento lo realiza una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
(ii) En los casos en los que las actividades principales del responsable o del encargado traten sobre operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, como sucede, por ejemplo, con actividades dirigidas a crear perfiles de consumidores.
(iii) En los casos en los que las actividades principales consisten en el tratamiento a gran escala de categorías “sensibles” de datos personales (de salud, biométricos, relativos al origen étnico, a creencias religiosas, preferencias sexuales, sobre condenas penales), como podría ser el caso de un centro médico.
Al respecto, se entiende como tratamiento “a gran escala”, aquél que persigue tratar una gran cantidad de datos personales que afectan a un gran número de ciudadanos con la probabilidad de existir un alto riesgo para los derechos y libertades de los mismos. Mientras que “tratamiento habitual y sistemático” se refiere a aquel que se realiza haciendo un seguimiento frecuente y repetitivo de personas mediante un método de organización, clasificación u ordenación de datos (Grupo de expertos en protección de datos dependiente de la Comisión Europea. GT29).
Dicen que el fin de semana será lluvioso. Perfecto para reflexionar sobre pendientes.
Ana Soto & Mª Luisa Osuna