La aprobación de la Ley Orgánica 5/2018 de 5 de diciembre, de protección de datos de carácter personal y garantía de los derechos digitales (LOPD) ha complementado al Reglamento 2016/679 General de Protección de Datos (RGPD), que entró en vigor el 25 de mayo de 2018, añadiendo nuevas obligaciones o ampliando las ya previstas en el RGPD.
El nuevo sistema de protección de la privacidad implica un cambio en la cultura de las diferentes entidades del sector público y privado que tratan datos de carácter personal, al pasarse de un sistema reactivo a un sistema proactivo en el que la privacidad debe estar presente en todas las fases del ciclo de vida del dato, desde antes de su obtención hasta su destrucción, pasando por todas las diferentes fases del tratamiento.
El RGPD parte del tratamiento de datos personales como piedra angular del sistema de protección de la privacidad. Sobre la base de los tratamientos identificados se valorará la necesidad de realizar una Evaluación de Impacto en Protección de Datos para cada uno de los tratamientos realizados. Posteriormente se realizarán las Evaluaciones de Impacto para los tratamientos que lo requieran, y para el resto de tratamientos, se deberá realizar un análisis de los riesgos que el tratamiento puede ocasionar a los derechos y libertades fundamentales de los interesados. Para finalizar, se establecerán controles técnicos y organizativos adecuados para eliminar o reducir a un riesgo residual aceptable, los riesgos detectados. El sector público deberá implementar las medidas de seguridad reguladas en el Esquema Nacional de Seguridad, tal y como establece la LOPD.
La importancia del cumplimiento de la normativa no sólo viene dada por la elevada cuantía de las sanciones que pueden llegar a imponerse (hasta 10 millones de euros o el 2% del volumen de negocio total anual global del ejercicio financiero anterior para las infracciones graves, o hasta 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, previstas para las infracciones muy graves), o que se reconozca un derecho de indemnización a los interesados por los daños y perjuicios sufridos por el incumplimiento del RGPD, sino que las consecuencias por incumplimiento van mas allá del perjuicio económico para la entidad que trata datos de carácter personal, tanto en calidad de responsable como de encargado de tratamiento.
El no ser una empresa segura, además de las consecuencias que puede acarrear desde el punto de vista regulatorio, hace frente al daño reputacional. Aunque el sector público no es objeto de sanción, la LOPD establece medidas disciplinarias que incluso pueden llegar a la publicación de los datos identificativos del infractor, en el caso que no se atiendan los requerimientos de la autoridad de control, con el consiguiente daño reputacional que ello puede llegar a suponerle.
Los usuarios cada vez están más preocupados como consecuencia de las prácticas que se revelan por conocer quiénes están tratando su información, lo que obliga a las empresas a implementar los esfuerzos necesarios para equilibrar dichas prácticas con el cumplimiento de lo establecido en el cumplimiento del RGPD y la LOPD.