El pasado 14 de abril el Parlamento Europeo aprobaba finalmente el Reglamento General de Protección de Datos (RGPD), una nueva normativa común para los Estados Miembro que viene a actualizar el marco legal que rige el tratamiento de datos personales que se mantenía casi intacto desde el año 1995 con la Directiva 95/46/CE.
Este RGPD, que trae importantes novedades en relación a las garantías y límites en la protección de datos personales, algunas de ellas con un impacto directo en el sector tecnológico, entrará en vigor en los próximos días, si bien no será de aplicación hasta mayo de 2018.
El primer punto importante que tenemos que tener en cuenta es cuándo este RGPD desplegará sus efectos y el ámbito de aplicación territorial. Ahora, las normas de protección de datos vigentes solo entran en juego cuando el responsable del tratamiento, esto es, por ejemplo, la empresa que trata nuestros datos personales, esté establecida en la Unión Europea. Si la empresa que trata nuestros datos personales no tiene un establecimiento en Europa, la normativa comunitaria y la nacional no podrán entrar en juego, por lo que las garantías y límites que establecen no pueden ser aplicados (con algunas excepciones que ahora no vienen al caso).
Pero con la nueva ley de protección de datos nos encontramos ante una situación que pretende proteger los datos personales de los ciudadanos europeos frente al tratamiento que hacen, especialmente, las empresas tecnológicas extranjeras. Cuando sea de aplicación el RGPD, éste será de aplicación por cualquier empresa, con independencia de dónde esté ubicada, siempre que trate los datos personales de un ciudadano de la Unión y cuando las actividades de ese tratamiento estén relacionadas con la oferta de bienes o servicios a estos ciudadanos en la Unión, independientemente de si a estos se les requiere un pago o no. Igualmente, será de aplicación si el tratamiento se realiza para controlar el comportamiento de los ciudadanos de la Unión.
Esto viene a corregir una situación no prevista en el año 1995 (fecha de la actual Directiva de protección de datos) en la que, ante el surgimiento de los grandes gigantes de Internet desde empresas ubicadas en Estados Unidos, los datos personales de los ciudadanos europeos se podían ver desprotegidos o al menos no con las mismas garantías que si los tratase una empresa europea, dado que no era exigible, con carácter general, la aplicación de nuestras garantías y derechos a estos gigantes extranjeros.
Pero como decimos, ahora esto cambia, y si una empresa no europea quiere tratar datos personales de europeos para los tratamientos antes descritos, deberá hacerlo bajo nuestras reglas de protección de datos.
Otra novedad importante es la obligación de notificar una violación de la seguridad de los datos personales. Con el RGPD, las empresas estarán obligadas a notificar en un plazo máximo de 72 horas a la autoridad de control competente (en España lo es la Agencia Española de Protección de Datos) de las violaciones de la seguridad de los datos personales.
Esto significa que cuando una empresa detecte que ha sido objeto de un “hackeo” en el que se han podido ver afectados los datos personales de, por ejemplo, sus clientes, deberá comunicar a la autoridad de control tal circunstancia en ese plazo máximo de 72 horas, indicando, entre otra información, la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados; describir las posibles consecuencias de la violación de la seguridad de los datos personales.
Además, cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, la empresa deberá comunicar tal circunstancia al afectado o interesado.
Es decir, con la nueva normativa de protección de datos se convierte en una obligación legal para la empresa el informar cuando haya sido “hackeada”, incluso, dependiendo del caso, podría ser obligatorio informar a las víctimas (los clientes de la empresa afectada por ejemplo) de tal circunstancia.
Este sin duda es uno de los mayores retos y dificultades con los que se encontrarán las empresas en el futuro. Hoy en día muchas empresas prefieren no airear sus problemas de seguridad informática por varios motivos (imagen, daño reputacional, incentivar nuevos ataques,
). Pero ahora no tendrán opción: sí o sí deberán notificarlo a la autoridad de control y en muchas casos también a todas las víctimas del fallo de seguridad, bajo pena de multa de hasta 10 millones de euros o del 2% del volumen de negocio total anual global del ejercicio financiero anterior (la cuantía que salga más elevada).
