La aprobación de la Ley Orgánica 5/2018 de 5 de diciembre, de protección de datos de carácter personal y garantía de los derechos digitales (LOPD) ha complementado al Reglamento 2016/679 General de Protección de Datos (RGPD), que entró en vigor el 25 de mayo de 2018, en aquellas cuestiones que el legislador comunitario había reservado para que cada uno de los Estados Miembros estableciese sus propios criterios, añadiendo nuevas obligaciones o ampliando las ya previstas en el RGPD.

El período de carencia de dos años, que se recogía en el RGPD concluyó el 25 de mayo de 2018. Durante este plazo las autoridades de control de protección de datos han ido publicando Guías y documentos para ayudar a los responsables del tratamiento a adaptarse a la nueva normativa y los Estados miembros de la Unión Europea han ido promulgando y tramitando nuevas leyes nacionales de protección de datos que complementan el RGPD. En España se ha aprobado recientemente la LOPD.

El nuevo sistema de protección de la privacidad implica un cambio en la cultura de las diferentes entidades del sector público y privado que tratan datos de carácter personal, al pasarse de un sistema reactivo a un sistema proactivo en el que la privacidad debe estar presente en todas las fases del ciclo de vida del dato, desde antes de su obtención hasta su destrucción, pasando por todas las diferentes fases del tratamiento.

El RGPD parte del tratamiento de datos personales como piedra angular del sistema de protección de la privacidad. Sobre la base de los tratamientos identificados se valorará la necesidad de realizar una Evaluación de Impacto en Protección de Datos para cada uno de los tratamientos realizados. Posteriormente se realizarán las Evaluaciones de Impacto para los tratamientos que lo requieran, y para el resto de tratamientos, se deberá realizar un análisis de los riesgos que el tratamiento puede ocasionar a los derechos y libertades fundamentales de los interesados. Para finalizar, se establecerán controles técnicos y organizativos adecuados para eliminar o reducir a un riesgo residual aceptable, los riesgos detectados. El sector público deberá implementar las medidas de seguridad reguladas en el Esquema Nacional de Seguridad, tal y como establece la LOPD.

Por su parte la LOPD establece especialidades en una serie de tratamientos como son, entre otros, los sistemas de exclusión publicitaria, los canales de denuncias internas, la videovigilancia (control laboral y seguridad), los sistemas de monitorización de la actividad de empleados, y obliga al sector público, a hacer público su Registro de Actividades de Tratamiento.

Es por ello que, la labor de identificar e inventariar los diferentes tratamientos de datos personales, resulta una labor esencial a la hora de implantar un sistema de gestión de la privacidad. No es baladí que el propio RGPD en su artículo 30 disponga que, salvo muy contadas excepciones, los responsables y encargados de tratamiento deben crear un Registro de Actividades de Tratamiento.

La importancia del cumplimiento de la normativa no sólo viene dada por la elevada cuantía de las sanciones que pueden llegar a imponerse (hasta 10 millones de euros o el 2% del volumen de negocio total anual global del ejercicio financiero anterior para las infracciones graves, o hasta 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, previstas para las infracciones muy graves), o que se reconozca un derecho de indemnización a los interesados por los daños y perjuicios sufridos por el incumplimiento del RGPD, sino que las consecuencias por incumplimiento van mas allá del perjuicio económico para la entidad que trata datos de carácter personal, tanto en calidad de responsable como de encargado de tratamiento.

No debe olvidarse que, los individuos que facilitan sus datos cuentan con que las empresas sean seguras protegiendo la privacidad de su información personal, lo que exige que en cada momento las organizaciones tengan identificados los tratamientos de datos personales que realizan si quieren seguir prestando servicios, además de existir una normativa por detrás que así lo refuerza. Sin embargo, el no ser una empresa segura, además de las consecuencias que puede acarrear desde el punto de vista regulatorio, está el daño reputacional. Aunque el sector público no es objeto de sanción, la LOPD establece medidas disciplinarias que incluso pueden llegar a la publicación de los datos identificativos del infractor, en el caso que no se atiendan los requerimientos de la autoridad de control, con el consiguiente daño reputacional que ello puede llegar a suponerle.