Todavía estás a tiempo de adaptarte al Reglamento General de Protección de Datos
Lejos queda ya el pasado 25 de mayo de 2016, día en que entró en vigor el Reglamento General de Protección de Datos de la Unión Europea (RGPD), publicado en el Diario Oficial de la UE 20 días antes. La nueva norma estableció un plazo de dos años para que los estados y las empresas pudieran adaptarse a la nueva norma y estar preparados para su aplicación obligatoria a partir del próximo 25 de mayo de 2018.
¿Qué ha pasado durante estos dos años?
Por la propia categoría de la norma, el RGPD tiene aplicación directa en todos los estados de la UE, y por lo tanto, no precisa de ningún tipo de mecanismo de transposición específico. Dicho de otra forma, no hace falta que exista ninguna ley española para que el Reglamento Europeo resulte obligatorio, sino que es exigible automáticamente como si de una ley nacional se tratara. En consecuencia, si bien es cierto que a priori, los estados no tenían mucho que hacer, en determinadas materias el Reglamento permitía cierto margen para concretar algunos puntos. Por lo tanto, cuando hablamos de la aplicación del Reglamento General de Protección de Datos nos encontramos frente a un caso un poco especial.
Por su parte, la gran carga del trabajo se traslada a las empresas. De hecho, el importe cambio de enfoque en la estrategia de cumplimiento en materia de protección de datos de carácter personal derivado del RGPD hace que las empresas tnegan que acometer una serie de cambios relevantes que afectarán a procedimientos internos y obligaciones específicas para dar cumplimiento a la norma así como a la documentación del propio cumplimiento (el principio denominado “accountability” o principio de responsabilidad proactiva, en virtud del cual, además de cumplir con la normativa, deberás tener mecanismos para poder demostrar que has cumplido). En la mayoría de cambios, la norma afectará al ámbito organizativo, por ejemplo en aquellas empresas que tengan que designar a un Delegado de Protección de Datos. Como vemos, tareas, labores y trabajos largos y complejos, que suponen un coste no desdeñable en muchos casos.
En el momento de redactar este artículo faltan únicamente 84 días para la aplicación.
A pesar de la gran importancia de las medidas y de la enorme difusión en medios de comunicación, podemos afirmar sin miedo a equivocarnos que no es mucho lo que se ha hecho hasta ahora, especialmente en pequeñas y medianas empresas.
Es muy probable que el próximo 25 de mayo algunas empresas no estén en condiciones de cumplir el RGPD
A nivel legislativo, y centrándonos en la norma española, el Reglamento General de Protección de Datos ha dado lugar a un proyecto de Ley Orgánica de Protección de Datos (sí, seguiremos teniendo una LOPD, pero totalmente distinta a la actual) que ya ha iniciado su fase de tramitación parlamentaria por el cauce ordinario, habiéndose descartado el trámite de urgencia.
Existe gran probabilidad de que no dispongamos de una Ley Orgánica de Protección de Datos adaptada al RGPD antes del 25 de mayo de 2018. No obstante, como decíamos al principio, esto no supone ningún tipo de ventaja o inconveniente, puesto que el Reglamento europeo será plenamente exigible de todas formas.
A nivel empresarial, son muchas las startups que se encuentran en proceso de adaptación al Reglamento General de Protección de Datos, pero no son menos las que todavía no han empezado a trabajar en este proyecto. A esas empresas les quedan tres meses muy intensos de trabajo y toma de decisiones, o de hacerse a la idea de que estarán en situación de riesgo a partir del 25 de mayo si deciden no hacer nada. El riesgo, como ya se ha dicho en multitud de artículos, es el de las sanciones que se establecen en el RGPD (enormemente cuantiosas).
Las empresas que no cumplan con el Reglamento General de Protección de Datos podrán ser sancionadas con multas de hasta 20 millones de euros o un 4% del volumen de negocio anual global del ejercicio económico anterior y de entre 40.000€ y 600.000€ en caso de infracción grave o muy grave.
A pesar de las sanciones, a mi modo de ver, el principal riesgo es a nivel reputacional. En el actual contexto de economía digital, donde la imagen pública de cualquier negocio puede verse afectada de forma muy relevante (a favor o en contra) por las redes sociales y lo que en ellas ocurre, el hecho de poder identificarse como negocio responsable en privacidad y protección de datos personales, puede ser un elemento decisivo para lograr una buena reputación pública. De forma contraria, un negocio que sea conocido por su irresponsabilidad en el enfoque de la política d eprivada puede verse sancionado por el mercado.
Desde Delvy queremos transmitir a nuestros lectores un mensje de ánimo y optimismo. Si bien es cierto que queda poco tiempo, todavía es posible llegar al 25 de mayo de 2018 con una política de protección de datos adaptada a la nueva regulación europea. Simplemente se trata de ponerse en marcha cuanto antes y recorrer ese camino de decisiones con tu abogado de confianza.
Quieres conocer las medidas necesarias para adaptar tu empresa al Reglamento General de Protección de datos? Descarga nuestro documento aquí
Necesitas elaborar tu pacto de socios o un abogado especialista en contratos de software. No dudes en contactar con Delvy a través del email [email protected]
