El Gobierno está preparando modificaciones de calado en la normativa sobre protección de datos, con el fin de ajustarla al reglamento sobre la materia aprobado por la Unión Europea. A partir del 25 de mayo de 2018 ya no habrá excusa. Desde esa fecha, todas las empresas que manejan datos de sus clientes deberán observar los procedimientos de la nueva reglamentación. A continuación, le explicamos las modificaciones más importantes introducidas en esta materia.
1.- El consentimiento tendrá que ser expreso.
Adiós a las menciones genéricas que establecían de forma tácita la autorización de los clientes para disponer de sus datos. El consentimiento tendrá que ser expreso y redactado de forma perfectamente clara. El artículo 7.2 del reglamento europeo avisa también sobre la costumbre, muy extendida, de que dicho consentimiento aparezca difuminado entre otras condiciones del contrato y/o servicio:
“Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.”
En cuanto a la edad, se fija en 16 años el límite para poder otorgar consentimiento sin necesidad de autorización paterna, una edad que los Estados miembros podrán rebajar como máximo a 13 años en su respectiva legislación nacional.
2.- El delegado de Protección de Datos.
Se trata de una figura que el reglamento europeo establece como obligatoria en aquellas empresas que manejan datos personales. El artículo 39.1 del reglamento detalla las funciones de este delegado:
“a) Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
b) Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
c) Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35.
d) Cooperar con la autoridad de control.
e) Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.”
La norma europea permite que estas funciones se puedan realizar externamente por un profesional cualificado y, en el caso de empresas con varios centros, que el cargo se ejerza por la misma persona para todo el grupo empresarial.
3.- Sanciones más elevadas.
El artículo 83 establece el régimen de sanciones para los que contravengan esta regulación europea de la protección de datos. Las multas administrativas van desde los 10 millones de euros (o el 2% del volumen de negocio anual anterior, si supera dicha cantidad) a los 20 millones de euros (o el 4% del volumen de negocio del año anterior; la cantidad que sea mayor). Los Estados miembros ajustarán por tanto su régimen punitivo a este rango de cuantías y establecerán, a su vez, la gradación de faltas según sean leves, graves o muy graves.
El Gobierno ya ha iniciado los trámites del nuevo anteproyecto de la Ley Orgánica de Protección de Datos, pero estas son las principales novedades que está obligado a incluir por mandato europeo. El 25 de mayo del año próximo, la legislación estatal estará homologada a este reglamento europeo para entrar en vigor al día siguiente.