A partir del próximo 25 de mayo, se hará efectiva la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos. Tal y como confirmó el Ministerio de Justicia, tras este nuevo Reglamento, se hace necesaria la elaboración de una nueva Ley Orgánica de Protección de Datos en sustitución de la actual. Se está trabajando a contra reloj para presentar la nueva Ley Orgánica coincidiendo con la puesta en marcha del Reglamento y la A.E.P.D. ya está desarrollando cuestiones concretas que el Reglamento remite a las autoridades nacionales de control. A la espera de conocer la nueva Ley Orgánica de Protección de Datos, que complementará al Reglamento, así afecta el Reglamento Europeo de Protección de Datos a las Comunidades de Propietarios:
Nuevos derechos del interesado
Se eliminan los derechos A.R.C.O., aunque más que eliminar, se amplían, con los siguientes derechos:
-
Acceso
-
Rectificación
-
Supresión (derecho al olvido)
-
Derecho a la limitación del tratamiento
-
Derecho a la portabilidad de los datos
-
Oposición
Desaparece la notificación de ficheros en la A.E.P.D.
Ya no será obligatorio dar de alta los ficheros de datos en la Agencia Española de Protección de Datos, en su lugar nace la obligación de documentación de actividades de tratamiento de datos personales, un conjunto de medidas de carácter INTERNO que el responsable y/o el encargado de los tratamientos deberán impulsar y tener documentadas “a disposición” de la A.E.P.D.
El Reglamento no hace mención en su artículo 30 (Registro de Actividades de Tratamiento) a la obligatoriedad de documentar estas medidas en las Comunidades de Propietarios, pero la A.E.P.D. sí que habla al respecto en su Guía para Administradores de Fincas, indicando que: “Estas medidas son obligatorias también para los administradores, como encargados del tratamiento”. Por lo tanto, las obligaciones indicadas en los apartados 1 y 2 del artículo 30 del nuevo Reglamento Europeo de Protección de Datos, se aplicarán también a las Comunidades de Propietarios.
Con este cambio, el responsable del fichero pasará a llamarse “Responsable del Tratamiento de Datos”, pero no cambian sus obligaciones ni responsabilidades.
Nuevo principio de responsabilidad proactiva en el Reglamento Europeo de Protección de Datos
Es una de las principales novedades, no se desarrollan las medidas que se tienen que tomar en la protección de los datos, pero sí se especifica que deben ser MEDIDAS APROPIADAS y además demostrables. Estas medidas quedan bajo la responsabilidad y criterio del responsable del tratamiento de datos y/o el encargado del tratamiento de datos.
El nuevo Reglamento NO obliga a la elaboración del Documento de Seguridad, pero puede seguir siendo útil a la hora de tomar las “medidas adecuadas”.
Nueva figura: el Delegado de Protección de Datos (DPO)
Según el proyecto de la nueva L.O.P.D. esta figura (física o jurídica) será obligatoria en Colegios Profesionales, centros docentes y universidades, en entidades de crédito, aseguradoras… El Reglamento no indica si esta figura será obligatoria en las Comunidades de Propietarios, pero la A.E.P.D. a falta de que se publique la Ley Orgánica, ya ha adelantado que no será obligatoria:
“Eso ocurrirá, por ejemplo, en obligaciones como la de designar un delegado de protección de datos o realizar evaluaciones de impacto sobre la protección de datos. Estas medidas las reserva el Reglamento para entidades que lleven a cabo tratamientos que impliquen un cierto nivel de riesgo para los derechos y libertades de los titulares de los datos, circunstancia que no parece darse en los tratamientos habituales en las comunidades de propietarios”.
De la misma manera que el Delegado de Protección de Datos no es obligatoria en las Comunidades de Propietarios, tampoco será necesaria la Evaluación de Impacto, destinada a las operaciones de tratamiento que por su naturaleza, alcance, contexto y fines entrañen un alto riesgo para los derechos y libertades de los afectados.
Desaparecen los niveles de seguridad a adoptar según el tipo de datos
La L.O.P.D. establecía tres niveles de seguridad a adoptar según la tipología de los datos personales:
-
Nivel básico: datos identificativos
-
Nivel medio: infracciones penales, saldo de la cuenta corriente, nómina…
-
Nivel alto: ideología, religión, vida sexual
Con la puesta en marcha del nuevo Reglamento Europeo de Protección de Datos, desaparecen los niveles de seguridad y se sustituyen por los niveles de riesgo:
Se deberá hacer un análisis de riesgo en función de los tipos de tratamientos, la naturaleza de los datos, número de afectados y la cantidad y variedad de tratamientos. En los tratamientos habituales de las Comunidades de Propietarios, el riesgo será BAJO. En las Comunidades de Propietarios, el análisis será el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.
Comunicación de incidencias a la autoridad competente
Se deberá comunicar a la autoridad competente (A.E.P.D.) en un plazo máximo de 72 horas, todo incidente que ocasione: la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Como puede ser la pérdida de un USB con datos personales, el borrado accidental de datos o el acceso no autorizado (hackeo)
Sanciones
El nuevo Reglamento Europeo de Protección de Datos clasifica las sanciones en su artículos 83.4 y 83.5 en:
-
Menos graves: multa administrativa de un máximo de 10 millones de euros o un 2% del volumen de negocio anual del ejercicio financiero anterior en el caso de las empresas.
-
Más graves: multa administrativa de un máximo de 20 millones de euros o un 4% del volumen de negocio anual del ejercicio financiero anterior en el caso de las empresas.
En próximos artículos iremos ampliando y desarrollando los cambios más significativos que afecten a las Comunidades de Propietarios tras la entrada en vigor del nuevo Reglamento General de Protección de Datos.