El Reglamento General de Protección de Datos europeo (RGPD) entró en vigor el 25 de mayo de 2018.

Desde el 25 de mayo de 2018, todas las empresas, incluidas las pequeñas empresas artesanales, las guarderías, las asociaciones y los autónomos, deben ofrecer un sistema de gestión de la protección de datos que cumpla la ley.

Esto debe distinguirse del nombramiento de un responsable de la protección de datos: en la mayoría de los casos, esto sólo se exige a las empresas con 20 o más empleados. El responsable de la protección de datos debe estar registrado ante la autoridad de control. Si su empresa aún no lo ha hecho, en algunos Estados federados esto ya constituye en este momento un delito sancionable con una multa.

El siguiente escenario podría producirse mañana mismo:

Escenario 1:

Un cliente informa a la autoridad de supervisión competente

• que los documentos de los clientes estén a la vista en la recepción y no se guarden, o
• que dos vendedores puedan acceder al mismo PC sin tener que introducir una contraseña individual, o
• que no ha recibido una declaración de protección de datos para su tarjeta de cliente/ o cree que no es suficiente.

Independientemente de si la denuncia está justificada o no, ahora es muy probable que la autoridad de control examine no sólo el incidente denunciado, ¡sino todo el concepto de protección de datos!

Consecuencia:

Si no tiene un concepto de protección de datos, o si no cumple los nuevos requisitos legales, se le impondrá una multa .

A diferencia de la situación jurídica anterior, ya no queda a discreción de las autoridades de control sancionar una infracción. En el futuro, las infracciones en materia de protección de datos deberán sancionarse.

Sólo queda por decidir el importe de la multa que se impondrá. La multa estándar tiene un tope de 20 millones de euros o el 4% del volumen de negocios del último año. Según las autoridades supervisoras alemanas, la multa media se sitúa actualmente entre 10.000 y 15.000 euros.

Escenario 2:

Un competidor se da cuenta de que el aviso de protección de datos de su sitio web no cumple los requisitos legales, acude a un abogado y hace que le envíen una carta de advertencia.

Consecuencia:

Puede presentar la declaración de cese solicitada (que no recomendamos sin reservas) y pagar los honorarios del abogado o enfrentarse a la amenaza de un procedimiento judicial que casi con toda seguridad perderá.

O bien establecen un sistema de gestión de la protección de datos, lo que significa, entre otras cosas

• Creación y mantenimiento de una lista actualizada de actividades de tratamiento con verificación de la base jurídica respectiva para el tratamiento de datos
• Creación y mantenimiento de una lista actualizada de sus encargados del tratamiento con referencia a cláusulas de protección de datos legalmente conformes en acuerdos de licencia, etc.
• Formación periódica de los empleados
• Divulgación de la gestión de la protección de datos y respuesta a preguntas durante una investigación de la autoridad de protección de datos
• Revisar y responder a las consultas y reclamaciones de los clientes, así como, en su caso, emitir o borrar los datos almacenados.
• Lectura permanente de nuevas sentencias judiciales pertinentes, anuncios de las autoridades de protección de datos y comentarios jurídicos para adaptar su gestión de la protección de datos a los requisitos actuales.

O puede encargar a un especialista con

• el establecimiento de su gestión de la protección de datos y
• Apoyo permanente como responsable externo de la protección de datos