Reglamento General de Protección de Datos
Iniciamos una serie de publicaciones para analizar con detalle las novedades de lo que podría ser el nuevo marco europeo de protección de datos, basándonos en el borrador del Reglamento General de Protección de Datos.
Muchos clientes nos han consultado al respecto de las novedades que más han trascendido en los medios (derecho al olvido, delegado de protección de datos, privacidad por defecto, etc.). Pero siempre hemos tratado de no pronunciarnos hasta que hubiese un texto definitivo, pensando que su aprobación sería inminente.
Sin embargo, no ha sido así, y ahora se baraja como fecha tope el mes de mayo de 2014, antes de las elecciones al Parlamento Europeo. Hace apenas un mes, el gran problema del texto era la falta de apoyos internos y las presiones externas, pero a la luz de la entrevista concedida por la Vicepresidenta de la Comisión Europea, Viviane Reding al Diario El País, parece que el asunto PRISM ha sido un revulsivo para desbloquear la tramitación del texto, y podría votarse a la vuelta de las vacaciones.
Obviamente hasta su aprobación, el texto sufrirá las modificaciones necesarias para lograr el consenso de los estados miembros, pero sí nos parece interesante hacer una primera valoración sobre las principales diferencias entre la norma actual y la propuesta presentada en enero de 2012.
A modo de comentario global, quizá este Reglamento suponga un acercamiento a algunos planteamientos de la ISO 27001, pasando por un inventario de activos, un análisis de riesgos, y la promoción de sellos y certificados de cumplimiento. En resumen, más profundidad y más carga de trabajo interno.
Para evitar causar pánico o aburrimiento en el lector, iremos paso a paso… pero empezamos fuerte.
Capítulo 1: Introducción y sanciones económicas
Introducción
A modo de introducción del análisis, comentamos los siguientes puntos para controlar la ansiedad de los lectores (siempre bajo el texto propuesto en enero de 2012):
- El Reglamento derogará la Directiva 95/46, que fue traspuesta en España a través de la LOPD, por lo que el marco actual quedará sin efecto.
- El Reglamento entrará en vigor a los 20 días de su publicación, pero no será de aplicación hasta pasados 2 años de su entrada en vigor.
- El Reglamento será de directa aplicación a todos los estados miembros, por lo que no se hará una trasposición al ordenamiento español.
Sanciones
a) Situación actual
Actualmente, las infracciones están tipificadas como leves, graves y muy graves, con sus respectivas posibles sanciones económicas:
- Infracciones leves: de 900 a 40.000 euros.
- Infracciones graves: de 40.000 a 300.000 euros.
- Infracciones muy graves: de 300.000 a 600.000 euros.
No obstante, el régimen sancionador de la LOPD, a pesar de su mala fama, es bastante flexible. La normativa permite la aplicación de una serie de circunstancias atenuantes que permiten bajar un grado la sanción económica, y sancionar como leve una infracción grave, o como grave una muy grave.
Incluso se prevé la figura del apercibimiento (quizá demasiado discrecional, a criterio de la AEPD) para aquellas infracciones leves o graves cometidas por empresas que tuviesen un expediente limpio. Estas empresas no serían sancionadas económicamente.
No se debe confundir el régimen sancionador de la LOPD con el de la LSSI (que prohíbe el spam y también atribuye la competencia sancionadora a la AEPD). Los márgenes previstos por la LSSI son más discretos (hasta 300.000 euros como tope), pero no es tan flexible como el de la LOPD, por lo que una infracción grave, siempre será sancionada como grave… y no deja de resultar llamativo que enviar spam 4 veces en 1 año a un mismo destinatario implique una sanción inevitable de 30.000 euros, como mínimo. Al menos yo, como receptor constante de spam (274 emails en los últimos 10 días), no le doy TANTA importancia.
b) ¿Situación futura?
También se prevén 3 niveles sancionadores, pero las cuantías aumentan significativamente:
- Hasta 250.000 euros o hasta un 0,5% del volumen de negocios (ingresos ordinarios) a nivel mundial.
- Hasta 500.000 euros o hasta un 1% del volumen de negocios a nivel mundial.
- Hasta 1.000.000 euros o hasta el 2% del volumen de negocios a nivel mundial.
Y también se prevé la aplicación de un apercibimiento o advertencia sin sanción económica, pero sólo para un primer incumplimiento no deliberado y cuando sea cometido por:
- Una persona física sin interés comercial.
- Una empresa de menos de 250 trabajadores que sólo trate datos personales de forma accesoria a su actividad principal.
Teniendo en cuenta que en España, pocas veces se ha llegado a imponer una sanción de más de 100.000 euros, parece que podríamos estar ante un cambio drástico de la situación. No obstante, todos los escalones establecen únicamente el tope máximo.
Mucho nos tememos que la inseguridad en los primeros meses de vigencia de la norma será devastadora.
Eso es todo por el momento. Próximamente hablaremos de la desaparición de la obligación de inscribir ficheros en la AEPD (pero no, no lancen las campanas al vuelo… porque tiene truco)
Áudea Seguridad de la Información
José Carlos Moratilla, Responsable Departamento Legal