El efecto del RGPD en las transacciones comerciales

Como tratamos en el post anterior sobre RGPD, la nueva normativa sobre protección de datos afecta a otras áreas más allá de la mera protección de datos de los clientes, como las campañas de marketing a través del mail marketing.

Sin embargo, en un mundo cada vez más globalizado, existe un aspecto mucho más relevante para la empresa que se encuentra directamente afectado por la legislación en esta materia y que en caso de infracción puede conllevar sanciones muy graves. Nos estamos refiriendo a las transacciones comerciales.

Una contratación que puede salir costosa

El Reglamento (UE) 2016/679 recoge en su capítulo IV las diferentes infracciones y sanciones derivadas de incumplimientos del RGPD. Dichas infracciones se gradúan desde las leves hasta las muy graves y, en función del tipo de infracción, las multas administrativas pueden ascender hasta los 20.000.000 de euros o entre el 2% y el 4% del volumen de negocio total anual del ejercicio anterior, optándose por la opción de mayor cuantía.

La estimación de la cantidad depende de múltiples factores como la diligencia debida, la intención de reparar el daño, la cantidad de datos filtrada, el tiempo que se ha tardado en notificar la incidencia o la realización continua de las misma, entre otros. En este post encontrarás 7 errores comunes que cometen las empresas al implantar el RGPD y que pueden desembocar en sanciones muy graves.

Si nos atenemos al artículo 73 apartado J de la LOPDGDD de diciembre de 2018 (actual legislación vigente que complementa al RGPD y deroga la antigua LOPD 15/99), se observa que entre las infracciones graves se encuentra la contratación de un proveedor de servicio que incumpla o no garantice las medidas necesarias para el cumplimiento de RGPD.

La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el Capítulo IV del Reglamento (UE) 2016/679.

Es importante distinguir en la definición qué se entiende por encargado de tratamiento y responsable de tratamiento. El propio Reglamento (UE) 2016/679 en su artículo 4 incluye una serie de definiciones a fin de hacer más sencilla la interpretación de la normativa. Entre ellas se encuentran los términos citados:

• Responsable de tratamiento o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.
• Encargado de tratamiento o “encargado”: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Como se puede concluir de las definiciones anteriores, las figuras del responsable y del encargado del tratamiento pueden ser extrapolables a cualquier tipo de transacción comercial.

Pero ¿Qué tiene que ver el RGPD con las transacciones comerciales?

El RGPD busca la protección del individuo a través de la protección de sus datos personales, es decir, todo tipo de dato que permita la identificación del individuo. Para la correcta protección de los datos es necesario que las empresas cuenten con un sistema compliance o de prevención integrado por medidas preventivas y proactivas, derivadas de un previo análisis de riesgos efectuado, con la finalidad de evitar o minimizar los riesgos potenciales detectados en el proceso de recopilación y tratamiento de los datos.

Dado que las transacciones comerciales implican el tratamiento de datos personales, generalmente de clientes, el contratar a un encargado de tratamiento que no cuente con las medidas de seguridad adecuadas, es decir, que no cumpla con las exigencias del RGPD, supone un riesgo que puede desembocar en una brecha de seguridad que ponga en peligro nuestra información.

En el caso de producirse dicha brecha, además, no solo el encargado del tratamiento se vería afectado por la sanción administrativa, sino que también el responsable del tratamiento se verá afectado por la misma, como consecuencia de haber seleccionado un encargado que no cumplía con la normativa.

Un ejemplo muy común en el ámbito comercial en este sentido es contratar con empresas que todavía hoy no han actualizado su programa de cumplimiento y su política de privacidad, y siguen basándose en la LOPD 15/1999 que actualmente está derogada y cuyo uso actual supone no estar adaptado a las exigencias del RGPD, pudiendo derivarse de esta situación una infracción grave con la consiguiente sanción económica.

Si quieres saber más sobre los efectos perjudiciales de emplear actualmente la LOPD 15/1999, en este enlace encontrarás más información.

Podemos concluir, pues, que debemos tener mucha precaución a la hora de contratar los servicios de terceros, debiendo asegurarnos previamente de que cumplen todos los requisitos necesarios en materia de protección de datos si no queremos que nuestro negocio corra el riesgo de verse afectado por la negligencia de otros.

El Departamento de Derecho de las Nuevas Tecnologías de Leasba, en colaboración con el área tecnológica, ofrece sus servicios de asesoramiento e implementación de RGPD a empresas para que se adapten a la normativa europea. Tanto si eres una empresa que tiene dudas sobre si contratar o no unos servicios de terceros o quieres adaptarte correctamente al RGPD, nosotros te ayudamos.

Síguenos en Linkedln para estar al tanto de las últimas novedades en tecnología y derecho tecnológico. 

También publicada en Medium.