Este Reglamento, con nuevos derechos para usuarios y obligaciones para las empresas, será de obligado cumplimiento a partir del próximo 25 de mayo
Este mes entre en vigor la nueva Ley Orgánica de Protección de Datos (LOPD) que tiene como finalidad la adaptación del ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de fecha 27 de abril de 2016, denominado Reglamento General de Protección de Datos. Y busca proteger la información de los usuarios en una sociedad cada vez más digitalizada.
La nueva regulación afecta de lleno a las empresas, especialmente al ámbito de recursos humanos y relaciones laborales. Una de las novedades es el tratamiento de los datos de las personas fallecidas, con lo que los herederos de la persona en cuestión o la institución designada, podrán solicitar el acceso, rectificación o supresión de los datos personales, salvo prohibición expresa de la persona fallecida o que lo prohíba una ley.
Estas nuevas previsiones deberán tenerse en cuenta respecto los trabajadores de la empresa que hubieran fallecido, bien durante la vigencia de la relación laboral o durante el periodo de conservación de los datos personales.
Otra de las novedades es la exigencia del consentimiento expreso del afectado para el tratamiento de sus datos personales, por lo que éste deberá ser informado de todas las finalidades que vayan a tener sus datos y deberá dar su consentimiento a todas las finalidades comunicadas. Por ello, a partir del 25 de mayo será imprescindible revisar las cláusulas de los contratos de trabajo sobre el tratamiento de los datos personales y adaptarlas a la nueva normativa.
En lo relativo al tratamiento de datos relacionados con los supuestos de sucesión de la empresa, se hace lícito el tratamiento de los datos que fueran necesarios para el buen fin de la operación y que permitan garantizar, si procede, la continuidad de la prestación de servicios. Se prevé que en caso de que la operación mercantil no alcance buen fin, se deberán suprimir con carácter inmediato dichos datos.
Respecto a la regulación sobre el tratamiento de datos con fines de videovigilancia, en el Proyecto de LOPD se hace una recopilación de los criterios judiciales emitidos en los últimos años y recomendaciones de la Agencia Española de Protección de Datos sobre la cuestión.
Con el nuevo reglamento se establece que es lícito el tratamiento de imágenes captadas por cámaras o sistemas de videovigilancia cuando se hace con la finalidad de preservar la seguridad de las personas, bienes e instalaciones; los datos se deberán suprimir en el plazo máximo de un mes, salvo cuando las imágenes deban servir como prueba de determinados incumplimientos y comportamientos; se deberá colocar un dispositivo informativo visible identificando la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos correspondientes; el empresario podrá utilizar las grabaciones de las cámaras y sistemas de videovigilancia para ejercer las labores de control del cumplimiento de sus obligaciones por parte de los trabajadores, aunque se establece la obligatoriedad de informar a los trabajadores sobre la medida.
En los sistemas de denuncias internas se debe informar a los trabajadores y a terceros de la existencia de dicho sistema, garantizando la confidencialidad de los datos guardados en el sistema y pudiéndose conservar dichos datos durante un máximo de 3 meses (transcurrido dicho plazo se debe proceder a su supresión).
Protección de Datos para empresas
El nuevo Proyecto de Ley también incorpora como novedad el establecimiento de las actuaciones proactivas del responsable y encargado del tratamiento de los datos, que deberán valorar la situación para determinar qué medidas técnicas y organizativas pueden resultar apropiadas para garantizar y acreditar el correcto tratamiento de los datos, así como se deberán realizar evaluaciones de impacto del tratamiento de datos, debiendo documentar las operaciones de tratamiento de datos y las acciones a emprender.
También existen novedades respecto al régimen sancionador y al importe de las sanciones. En este sentido se incrementa el importe de las sanciones en los supuestos más graves hasta los 20 millones de euros o, tratándose de una empresa, hasta un 4% de su facturación, escogiéndose el importe que resulte mayor.
El ámbito europeo advierte que la adaptación a la nueva normativa para los Estados va a ser un proceso complejo y previsiblemente más largo que el concedido (inicialmente hasta el 25 de mayo de 2018). En el caso de las PYMES será todo un reto que requerirá de una adecuada planificación y asesoramiento de expertos.
En este nuevo marco la figura del delegado de protección de datos ocupa un lugar de gran importancia, al objeto de facilitar el cumplimiento de la normativa, tanto del Reglamento europeo como, en el futuro, de la nueva Ley Orgánica de Protección de Datos que en estos momentos está debatiéndose en el Parlamento.