Esta normativa constituyó un nuevo marco jurídico con aplicabilidad directa a todos los Estados miembros de la UE.

Mientras que las directivas son recomendaciones a tener en cuenta y no son legalmente vinculantes, las regulaciones sí son leyes y responsabilizan legalmente a las compañías. Esto significa que el RGPD es una ley y como tal, debe ser cumplida por todos los estados europeos miembros, mientras que la anterior Directiva de Protección de Datos no lo era.

Por tanto, el RGPD se aplica a todas las entidades con sede en un país de la UE que procesan datos personales, así como a todas las entidades del mundo que procesan datos personales que pertenecen a residentes de la UE.

El Reglamento General de Protección de Datos busca proteger los datos personales y la forma en la que las organizaciones los procesan, almacenan y, finalmente, destruyen, cuando esos datos ya no son requeridos. Además, la ley mencionada proporciona un control individual relacionado con cómo las compañías pueden utilizar la información que está directamente relacionada con los individuos, y otorga ocho derechos específicos.

Dicho marco jurídica aplica a organizaciones con presencia física en al menos algún país miembro de la Unión Europea, organizaciones que procesan o almacenan datos sobre individuos que residen en la Unión Europea u organizaciones que utilizan servicios de terceros que procesan o almacenan información sobre individuos que residen en la Unión Europea.

Por lo tanto, cualquier empresa con presencia en la Unión Europea y que por tanto posee empleados o clientes en la Unión Europea, debe de adecuarse al RGPD.

Pero ¿Qué ocurriría si una empresa o incluso autónomo incumple la Ley de Protección de Datos?

Según queda reflejado en la propia normativa, en el caso de incumplimiento de las normas de protección de datos las organizaciones pueden llegar a enfrentarte a una serie de sanciones y multas. Dichas multas por infracciones graves pueden ser de hasta 20 millones de euros o un 4% del volumen de negocio total anual global del ejercicio financiero anterior. Además, la sanción puede ir acompañada de un apercibimiento o una prohibición de tratamiento.  

Además, a nivel nacional, España fue el país que más multas recibió por incumplir el Reglamento General de Protección de Datos durante el año 2021, con un total de 273 sanciones

Este número total de sanciones supone un incremente del 35% respecto al año anterior.

Como dato relevante, durante el año 2020, la Agencia Española de Protección de Datos (AEPD) recibió un total de 13.905 reclamaciones. Dichas reclamaciones suelen proceder, generalmente, de personas que ya no pertenecen a la empresa como trabajadoras y/o personas descontentas con la organización. 

El simple hecho de evitar la multa para no poner en riesgo la estabilidad económica de las organizaciones ya debería ser lo suficientemente importante como para que todas las organizaciones cumplieran con el reglamento en materia de protección de datos. Además, la adecuación al RGPD resulta beneficioso para las organizaciones ya que aumentará la reputación e imagen de la empresa.

A su vez, las organizaciones que puedan avalar que cumplen con la ley mencionada obtendrán la confianza de sus clientes a la hora de aportar sus datos personales. 

Además, al mismo tiempo que las empresas u organizaciones protegen los datos personales de proveedores, clientes y empleados, estarán aumentando su propia seguridad.

Además, con la entrada en vigor del Reglamento General de Protección de Datos, dos figuras ya existentes ganaron aún más relevancia en lo que concierne a la gestión de datos personales: el responsable y encargado del tratamiento.

Frecuentemente, las organizaciones y empresas externalizan parte de sus tratamientos de los datos personales con proveedores u organizaciones externas. De este modo, son ejemplo de encargos de tratamiento de datos cuando una organización, la cual ostenta el rango de responsable del tratamiento, contrata a otra empresa externa, la cuál actuará como encargado del tratamiento de los datos personales.

En estos casos, se formaliza un contrato de encargado de tratamiento que vincula a responsable y encargado y regula, a su vez, las relaciones entre ambos respecto al tratamiento de los datos personales.

Todos aquellos contratos de encargado de tratamiento que estuvieran formalizados previamente a la entrada en vigor del Reglamento General de Protección de Datos no quedaron automáticamente revocados con la aplicabilidad de dicha norma. Sin embargo, se estableció un plazo determinado para adecuarlos a la nueva normativa.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales, especificó en su disposición transitoria quinta que todos aquellos contratos de encargado del tratamiento que fueran formalizados previamente al 25/05/2018 debían ser modificados y adaptados al artículo 28 del Reglamento General de Protección de Datos antes del próximo 25 de mayo de 2022.

Por tanto, durante dicho plazo, cualquiera de las partes podrá exigir la modificación del contrato con la finalidad de adaptarlos al Reglamento General de Protección de Datos.

Por tanto, ya no hay excusa para no adaptarse a la nueva normativa en protección de datos, y desde OptimumTIC recomendamos iniciar dicha adaptación lo antes posible.

En OptimumTIC, dentro de nuestros servicios elaboramos el Análisis GAP si este no hubiera sido creado por la compañía, para establecer el Plan de Acción o pasos a realizar para la adaptación hacia el Reglamento General de Protección de Datos.

En base a nuestra experiencia en este tipo de proyectos y gracias al carácter transversal de nuestro equipo, suplimos todas las medidas técnicas, legales y organizativas en las que se traducen los requerimientos del RGPD, realizando los proyectos o acciones que deban desarrollarse para acercar la organización al cumplimiento normativo.

Esta transversalidad queda plasmada en la realización de un análisis de situación de la organización, Plan de Acción bien definido, y posible establecimiento de medidas de seguridad, entre otros.

Además, trabajamos con el software de privacidad OneTrust, que además de permitir la personalización total de la jerarquía de la organización, también mantiene el inventario de activos, el registro de consentimientos permite elaborar PIAs y crear workflows dentro de la compañía, entre otras funcionalidades.

Mediante el soporte de esta herramienta, OptimumTIC contribuye a diseñar, desarrollar y optimizar a diversas organizaciones en su proyecto de adecuación al RGPD y cumplimiento reglado.

Si desea más información sobre nuestros servicios o productos, puede contactar con nosotros sin compromiso a través de nuestra página web: www.optimumtic.com o escribiéndonos a info@optimumtic.com