A continuación, te explicamos uno de los aspectos más importantes de esta nueva normativa española sobre protección de datos y cómo siendo autónomo y la pyme te obliga a su cumplimiento.
Responsable y encargado del tratamiento de datos en la LOPD GDD 2019
Es responsabilidad de ambas figuras determinar las medidas técnicas y organizativas apropiadas que deben aplicarse para garantizar y acreditar el correcto uso de los datos.
Para ello deben tener en cuenta los mayores riesgos que podrían producirse si existiese un mal tratamiento o fugas de la información recabada. Y, según las actividades que efectivamente realice cada uno, así se determinará su responsabilidad.
Son los encargados, además, de llevar un registro de actividades entorno a los datos. Especificando, según sus finalidades, el tratamiento llevado a cabo. Y, si se hubiera designado un Delegado de Protección de Datos habrá que comunicarle cualquier adición, modificación o exclusión en el contenido del registro.
También corresponde al responsable del tratamiento la obligación de bloquear los datos cuando se proceda a su rectificación o supresión.
Régimen sancionador en la LOPD GDD 2019
Si había algo que nos mantenía preocupados en el RGPD era la incertidumbre con respecto al régimen sancionador. La normativa europea contempla sanciones muy elevadas ya que, según la infracción, las multas administrativas pueden alcanzar entre 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global.
El problema es que no quedaba muy claro en qué casos podías ser sancionado y por cuánta cantidad.
La LOPD ha sido mucho más concisa que la normativa europea. Mantiene la clasificación del antiguo articulado entre muy grave, grave y leve, según el grado de afectación de los datos. Así, el régimen español de infracciones se divide en:
- Muy graves: las que supongan una vulneración sustancial del tratamiento y tengan que ver con el uso de los datos para una finalidad diferente de la anunciada, la omisión del deber de informar al afectado, la exigencia de un pago para poder acceder a los datos propios almacenados, transferencia internacional de información sin garantías…Este tipo de infracción prescribe a los 3 años.
- Graves: las que supongan una vulneración sustancial del tratamiento y tengan que ver con datos de un menor recabados sin consentimiento, falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos o, por ejemplo, el incumplimiento de la obligación de nombrar responsable o encargado de tratamiento de datos. Este tipo de infracción prescribe a los 2 años.
- Leves: las restantes que no queden contempladas en los grupos anteriores. Prescribirán al año y se refieren a casos como la no transparencia de la información, el incumplimiento de no informar al afectado cuando lo haya solicitado o, por ejemplo, el incumplimiento por parte del encargado de sus obligaciones.
Además, para aplicar una u otra sanción también se tendrán en cuenta circunstancias como el carácter continuado de la infracción, la vinculación de la actividad del infractor con el tratamiento, la afectación a los derechos de los menores, etc.
Estas son las novedades más importantes que debes conocer con respecto a la nueva Ley orgánica de protección de datos y garantía de los derechos digitales, si necesitas más información o quieres que un asesor te mantenga al tanto de todas las novedades que afectan a tu negocio no dudes en ponerte en contacto con nuestro equipo de profesionales.