La Agrupación para el Progreso de la Dirección (APD), Nextel y Laffer Abogados, en colaboración con la CEN y el Colegio Profesional de Ingeniería Informática de Navarra (CPIINA) han reunido en la sede de los empresarios navarros en Pamplona a cerca de medio centenar de directivos y empresarios de las principales empresas de Navarra, interesados en conocer de mano de estos profesionales el nuevo Reglamento General de Protección de Datos, RGPD. Una realidad inminente con entrada en vigor pasado mañana y que dibuja un marco más exigente.
La nueva regulación obliga a sustituir el sistema actual, estático y predeterminado, por otro nuevo que exige autoevaluación singular y proactiva. En grandes rasgos, las principales novedades residen en la regulación del ‘Derecho al Olvido’ y el ‘Derecho a la Portabilidad de Datos’; la definición de un régimen sancionador que puede llegar hasta el 4% de la facturación mundial del grupo empresarial; el incremento de obligaciones de cumplimiento y diligencia; la creación de la figura del Delegado de Protección de Datos; o la desaparición de la obligación de auditarse periódicamente, registros de ficheros, documento de seguridad, etc.
El régimen sancionador puede llegar hasta los 20 millones de euros o el 4% del volumen de facturación total global anual
Todas estas modificaciones y su implicación en la empresa han sido analizados en detalle por los profesionales de Nextel y Laffer; quienes han estado acompañados por Jesús Pejenaute, director en Navarra de APD.
Así, el panel de expertos formado por Álvaro Reig y Cristina García, socio y abogada respectivamente de Laffer Abogados; y Joseba Enjuto, director de consultoría de Nextel, junto con Javier Suecun, responsable de sistemas y seguridad de CENER y decano de CPIINA han analizado el nuevo reglamento desde diferentes perspectivas. De esta manera, cabe destacar que uno de los ámbitos en los que se pone mayor énfasis es en las medidas sancionadoras. Uno de los principales cambios sobre el que descansa el RGPD, tal y como han indicado los expertos, es el principio de responsabilidad activa o accountability; que requiere de un régimen sancionador que sea efectivo, proporcionado y disuasorio.
En este sentido, los expertos han querido dejar claro que a pesar de que es pronto para contrastar las implicaciones cuantitativas de este nuevo régimen sancionador; donde habrá que ver la naturaleza de la gravedad o duración de la infracción para determinar el tipo de incumplimiento, todo apunta a que el escenario ante el que se encontrarán expertos y empresas será de un recrudecimiento de las sanciones económicas.
De hecho, han señalado que, con el nuevo Reglamento se va a pasar de distinguir entre incumplimiento leve, grave o muy grave, a tener una clasificación dual de los incumplimientos en función de la cuantía de las multas: el primero es que el incumplimiento del 20% de los artículos del RGPD (excluyendo disposiciones finales); es decir, 19 de los 93 artículos que componen el reglamento pueden suponer una multa de hasta 10 millones de euros o el 2% del volumen de facturación total global anual. La segunda indica que el incumplimiento de otros 15 artículos, más del 16%, puede suponer multas de hasta 20 millones de euros o el 4% del volumen de facturación total global anual.
Se pasa del sistema actual, estático y predeterminado, a otro nuevo que exige autoevaluación singular y proactiva
HASTA LA VÍA PENAL
En ambos casos, el RGPD establece de acuerdo a lo expuesto que, de las dos formas de calcular las sanciones económicas, se optará siempre por la arroje mayor cuantía. Asimismo, estos porcentajes se disparan si se eliminan los artículos neutros (definiciones, objeto de la ley, objeto de aplicación, etc.). No obstante, han hecho hincapié en que estas cifras son máximos, ya que la propia norma establece criterios para su graduación.
En pocas palabras, y de acuerdo a lo expuesto por los expertos, la naturaleza de este nuevo régimen sancionador no es otro que utilizar las sanciones como una herramienta eficaz para que las organizaciones cumplan con la normativa aplicable y para que sean conscientes de las consecuencias que podría suponer un tratamiento ilícito de los datos personales de una persona.
Un régimen sancionador que puede ir más allá de una sanción económica; ya que se deja paso a la vía penal, al tener los Estados miembros de la UE la posibilidad de imponer sanciones penales por infracciones al RGPD, en caso que se considerase que se trata de la vía más apropiada para seguir la acción reguladora. Unas sanciones penales que pueden autorizar la privación de los beneficios obtenidos en infracción del Reglamento. Pero, como han recordado, todos los agentes implicados deberán estar atentos a la normativa nacional para seguir el desarrollo de esta potestad concedida desde instancias europeas.
OPINIÓN EXPERTA
Como complemento de todo lo anterior, añadimos -por su interés- la valoración que realiza de esta nueva legislación la profesora de Derecho de la Información de la Universidad de Navarra, Ana Azurmendi.
Para saber más sobre la actividad de la APD en Navarra… LEER AQUÍ
