APD, Nextel y Laffer Abogados, en colaboración con CEN y el Colegio Profesional de Ingeniería Informática de Navarra (CPIINA) reunieron en la sede de los empresarios navarros a cerca de medio centenar de representantes de las principales empresas de Navarra, interesados en conocer de mano de estos profesionales el nuevo Reglamento de Protección de Datos, RGPD.
Una realidad inminente con entrada en vigor pasado mañana y que dibuja un marco más exigente.
La nueva regulación obliga a sustituir el sistema actual y pasa de ser un sistema estático y predeterminado, a un nuevo sistema que exige autoevaluación singular y proactiva. En grandes rasgos, las principales novedades residen en la regulación del “Derecho al Olvido” y el “Derecho a la Portabilidad de Datos”; la definición de un régimen sancionador que puede llegar hasta el 4% de la facturación mundial del grupo empresarial; el incremento de obligaciones de cumplimiento y diligencia; la creación de la figura del Delegado de Protección de Datos; o la desaparición de la obligación de auditarse periódicamente, registros de ficheros, documento de seguridad, etc.
Todas estas modificaciones y su implicación en la empresa fueron analizados en detalle por los profesionales de Nextel y Laffer; quienes estuvieron acompañados por Jesús Pejenaute, director en Navarra de APD.
Así, el panel de expertos formado por Álvaro Reig y Cristina García, socio y abogada respectivamente de Laffer Abogados; y Joseba Enjuto, director de consultoría de Nextel, junto con Javier Suecun, responsable de sistemas y seguridad de CENER y decano de CPIINA analizaron el nuevo reglamento desde diferentes perspectivas. De esta manera, cabe destacar que uno de los ámbitos en los que se pone mayor énfasis es en las medidas sancionadoras. Uno de los principales cambios sobre el que descansa el RGPD, tal y como indicaron los expertos, es el principio de responsabilidad activa o accountability; que requiere de un régimen sancionador que sea efectivo, proporcionado y disuasorio.
En este sentido, los expertos quisieron dejar claro que a pesar de que es pronto para contrastar las implicaciones cuantitativas de este nuevo régimen sancionador; donde habrá que ver la naturaleza de la gravedad o duración de la infracción para determinar el tipo de incumplimiento, todo apunta a que el escenario ante el que se encontrarán expertos y empresas será de un recrudecimiento de las sanciones económicas.
De hecho, señalaron que, con el nuevo Reglamento se va a pasar de distinguir entre incumplimiento leve, grave o muy grave; a tener una clasificación dual de los incumplimientos en función de la cuantía de las multas: el primero es que el incumplimiento del 20% de los artículos del RGPD (excluyendo disposiciones finales); es decir, 19 de los 93 artículos que componen el reglamento pueden suponer una multa de hasta 10 millones de euros o el 2% del volumen de facturación total global anual. La segunda indica que el incumplimiento de otros 15 artículos, más del 16%, puede suponer multas de hasta 20 millones de euros o el 4% del volumen de facturación total global anual.
En ambos casos, el RGPD establece de acuerdo a lo expuesto que, de las dos formas de calcular las sanciones económicas, se optará siempre por la arroje mayor cuantía. Asimismo, estos porcentajes se disparan si se eliminan los artículos neutros (definiciones, objeto de la ley, objeto de aplicación, etc.). No obstante, hicieron hincapié en que estas cifras son máximos, ya que la propia norma establece criterios para su graduación.
En pocas palabras, y de acuerdo a lo expuesto por los expertos, la naturaleza de este nuevo régimen sancionador no es otro que utilizar las sanciones como una herramienta eficaz para que las organizaciones cumplan con la normativa aplicable y para que sean conscientes de las consecuencias que podría suponer un tratamiento ilícito de los datos personales de una persona.
Un régimen sancionador que puede ir más allá de una sanción económica; ya que se deja paso a la vía penal, al tener los Estados miembros de la UE la posibilidad de imponer sanciones penales por infracciones al RGPD, en caso que se considerase que se trata de la vía más apropiada para seguir la acción reguladora. Unas sanciones penales que pueden autorizar la privación de los beneficios obtenidos en infracción del Reglamento. Pero, como recordaron, todos los agentes implicados deberán estar atentos a la normativa nacional para seguir el desarrollo de esta potestad concedida desde instancias europeas.
