Con fecha 10 de noviembre pasado, el Consejo de Ministros ha aprobado la remisión a las Cortes Generales del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal que adaptará la legislación española a las disposiciones del Reglamento (UE) 2.016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2.016, Reglamento General de Protección de Datos (en lo sucesivo RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, plenamente aplicable a partir del 25 de mayo de 2.018.

Bufete Daza Abogados considera la conveniencia y oportunidad de reflexionar sobre el contenido del RGPD y su incidencia en las Comunidades de Regantes a la hora de tratar los datos personales de los miembros que la integran.

La Constitución Española, en su art. 18.4 establece literalmente que “La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

EL RGPD tiene por objetivo la armonización y la unidad de criterio en la aplicación y garantía de los derechos de los ciudadanos europeos en materia de privacidad y protección de datos.

Dicho Reglamento tendrá un impacto significativo, comportando la adopción de nuevas medidas de protección de los datos adecuadas a los riesgos, la realización de evaluaciones de impacto, una mejor gestión de las incidencias en la seguridad de los datos, así como de la implementación de mecanismos jurídicos y técnicos que garanticen la seguridad, confidencialidad e integridad de los datos personales.

Con fecha 10 de noviembre pasado el Consejo de Ministros ha aprobado la remisión a las Cortes Generales del Proyecto de Ley Orgánica de Protección de Datos que transpondrá a nuestro Ordenamiento Jurídico el citado RGPD.

El sistema de protección de datos cambia radicalmente con respecto la normativa anterior, obligando a adoptar medidas de responsabilidad activa.

Si bien actualmente, conforme a la normativa vigente, las Comunidades de Regantes se limitan a declarar los ficheros de datos ante la Agencia Española de Protección de Datos y a informar a cuantas personas figuran en sus archivos del consentimiento informado y sus derechos de acceso, rectificación y cancelación de sus datos de carácter personal, con la aplicación del RGPD se deberá demostrar que se tiene establecida una cultura de cumplimiento en materia de protección datos y documentación de las políticas, procedimientos y operaciones de tratamiento de datos.

Como principales novedades del RGPD, y por ende del precitado Proyecto de Ley Orgánica, cabe destacar lo siguiente:

1) Nuevos derechos de los ciudadanos: derecho al olvido y derecho a la portabilidad de los datos de un usuario de un sistema de tratamiento electrónico a otro.

2) La creación de la figura del Delegado de Protección de Datos (DPO, Data Protection Officer). A tenor de lo dispuesto en el artículo 34 del Proyecto de Ley Orgánica, en relación con el artículo 37.1 del RGPD, existe la obligación de nombrar un Delegado de Protección de Datos, interno o externo, que supervise, coordine, gestione y lleve a cabo la implantación continua y el control interno en materia de protección de datos. No obstante, conforme establece el artículo 37.3 del RGPD se podría designar un único Delegado de Protección de Datos para varias Comunidades de Regantes, teniendo en cuenta su estructura organizativa y tamaño.

3) Obligación de realizar Análisis de Riesgos y Evaluaciones de Impacto para determinar el cumplimiento normativo en materia de protección de datos de carácter personal.

4) Obligación de registrar documentalmente las operaciones de tratamiento, tanto por parte de los Responsables de Fichero como por los Encargados de Tratamiento.

5) Nuevas notificaciones a la Autoridad de Control: Brechas de seguridad y autorización previa para determinados tipos de tratamiento.

6) Nuevas obligaciones de información al interesado.

7) Revisión de las cláusulas de confidencialidad y protección de datos con los proveedores.

Las multas por infracciones en materia de protección de datos se incrementan de forma significativa, pudiendo llegar al 4 % del volumen de anual de negocio o a veinte millones de euros (artículo 83.6 del RGPD).

Por último, es preciso resaltar que de conformidad con el artículo 77 del Proyecto de Ley Orgánica precitado, cuando la finalidad del tratamiento de los datos llevado se relacione con el ejercicio de potestades de derecho público por ejemplo, la gestión y distribución de las aguas públicas, se aplicará el régimen sancionador específico establecido en apartado 2 del mencionado artículo 77, por lo que las infracciones a las que se refieren los artículos 73 a 75 del repetido Proyecto de Ley Orgánica, serían sancionados con apercibimiento.

Todo ello con independencia de la obligación de adoptar las medidas apropiadas para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

Como reflexión final, convendría preguntarse: ¿están las Comunidades de Regantes preparadas para cumplir con las obligaciones establecidas en el RGPD antes del 25 de mayo del año próximo?