Después de un largo periodo de adaptación (más de dos años) el próximo día 25 acaba el plazo para adaptarse al Reglamento General de Protección de Datos (RGPD). La normativa europea endurece las sanciones por los incumplimientos de su articulado, y todo autónomo o pyme que esté en contacto con datos personales está obligado a regirse por su mandato (si no quieres enfrentarte a sanciones que pueden llegar a los 20 millones de euros).

El tratamiento y la comercialización de los datos personales que recaban las empresas se ha convertido en un gran negocio de compraventa de información. De hecho, se ha acuñado el término ‘Big Data’ para aglutinar el amplio volumen de datos que manejan los negocios a diario. Y la importancia de esa enorme agenda (que, obviamente, es más grande cuanto más volumen de negocio tiene una empresa) reside en que, con ella, se puede analizar el comportamiento del mercado. De ese modo, una organización puede decidir cómo y cuándo montar su estrategia de negocio en base a los datos obtenidos de ese ‘Big Data’.

Pero no solo las grandes organizaciones recaban datos a diario que hay que saber gestionar y tratar, sino que también autónomos y pymes tratamos a diario con este tipo de información. Lo hacemos cuando abrimos fichas con los datos de nuestros clientes, cuando pedimos información personal vía telefónica o cuando solicitamos la identificación de un cliente en nuestra página web.

Pues bien, a partir del día próximo 25 de mayo estarán obligadas al cumplimiento del RGPD todas las empresas, sociedades, autónomos, comunidades, asociaciones y administraciones públicas de los Estados miembro (también las españolas).

Esta normativa europea de la que estamos hablando, como bien sabemos, nació hace dos años con vocación de unificar las leyes de todos los países de la Unión. A partir de su entrada en vigor los países tendrán que adecuar su propia legislación al RGPD, y España ya tiene prevista una modificación de la actualmente vigente Ley Orgánica de Protección de Datos (LOPD).

Pero, ¿qué pasará si llega el día 25 y no te has adecuado a la normativa europea? Pues que podrías enfrentarte a duras sanciones. Un castigo que puede llegar a ser realmente doloso, ya que, según la infracción, las multas administrativas que se contemplan pueden alcanzar de entre 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global.

El régimen sancionador del RGPD es aplicable cuando el tratamiento de los datos de carácter personal que maneja la empresa no se adecua a la norma. Las multas se establecerán en función a la infracción de que se trate y es que, a diferencia de la actual LOPD, no existe una tipología establecida de infracciones en leves, graves o muy graves. Por tanto para establecer la cuantía de las sanciones se atenderá al caso particular y se tendrá debidamente en cuenta lo siguiente:

  • La naturaleza, gravedad y duración de la infracción, estudiando la naturaleza, alcance o propósito de la misma, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.
  • La intencionalidad o negligencia en la infracción.
  • Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.
  • El grado de responsabilidad del encargado del tratamiento de los datos, habida cuenta de las medidas técnicas u organizativas que hayan aplicado para salvaguardar la información.
  • Toda infracción anterior cometida por el responsable o el encargado del tratamiento.
  • El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.
  • Las categorías de los datos de carácter personal afectados por la infracción.
  • La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida.
  • Que el responsable o el encargado de que se trate, en relación con el mismo asunto, ya haya sido sancionado, entre otras, con una advertencia o apercibimiento al cumplimiento de dichas medidas.
  • La adhesión a códigos de conducta o a mecanismos de certificación aprobados con arreglo al articulado del propio RGPD.
  • Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

*Otras novedades del RGPD.

Esta nueva normativa establece, por primera vez, la posibilidad de que los Estados miembro puedan instaurar sanciones penales por el incumplimiento del RGPD, trascendiendo la vía administrativa. Además, el afectado que haya sufrido daño y/o perjuicio (ya sea material o inmaterial) como consecuencia de una infracción de su articulado, tendrá derecho a recibir una indemnización del encargado o responsable del tratamiento de los datos.

*Fuente de la información ‘Infoautónomos’.

Share This